February 17, 2009

rckywlq.exe、wjkfyup.exe 病毒清除

此為頑固的特洛伊病毒,中毒的人很難脫身,都想重灌,不過其實是有辦法解決的。

解決方式:
此隨身碟病毒會透過USB碟自動播放的功能感染,請將自動播放功能關閉(http://www.wretch.cc/blog/pkok123/13378977),
如果發現如下感染的徵兆,就是中毒拉。
1. 無法開啟隱藏檔案與資料匣設定
2. 執行程式的過程會自動終止
3. 在檔案總管中磁碟機按下滑鼠右鍵會出現亂碼文字
4. 在工作管理員中發現rckywlq.exe,wjkfyup.exe
5. 無法進入某特定網頁,如:學校web mail,
6. 無法進入安全模式

可能會出現的目錄有:
c:\Program Files\Common Files\Microsoft Shared\wjkfyup.exe
c:\Program Files\Common Files\Microsoft Shared\yrrwnkb.inf
c:\Program Files\Common Files\Microsoft Shared\xwatmaf.exe
c:\Program Files\Common Files\System\rckywlq.exe
c:\Program Files\meex.exe
c:\xwatmaf.exe
d:\xwatmaf.exe
e:\xwatmaf.exe
.........xwatmaf.exe  這個檔會COPY到各個磁碟分割區
由於該病毒會隱藏,電腦顯示所有檔案也看不到,所以要特別注意

移除方法:
1. 需透過其他電腦使用安全模式開機,並將感染的硬碟設為副硬碟,在安全模式底下將各磁碟機的autorun.inf, xwatmaf.exe等檔案自根目錄移除
2. 至c:\Program Files\下移除meex.exe
3. 至c:\Program Files\Common Files\Microsoft Shared下及登錄檔中移除rckywlq.exe,wjkfyup.exe
4. 至c:\Program Files\Common Files\System下及登錄檔中移除rckywlq.exe,wjkfyup.exe
5. 至C:\WINDOWS\Prefetch下移除RCKYWLQ.exe,WJKFYUP.exe
6. 將硬碟接回原電腦,並使用病毒查殺工具將隱藏檔案與資料匣設定、無法進入網頁、無法進入安全模式修復。 


如何檢查自己有無中此木馬:
1. 開始=>執行 , 打入 cmd (按確定)
2. 進入c槽根目錄, 打入 cd\ (按確定)
3. 查詢所有檔案 dir /a/p (按確定)
4. 檢查自己有無autorun.inf, 以及奇怪的exe檔,以這個木馬為例則是 xwatmaf.exe 
5. 或者可以直接打開windows工作管理員,工作列點選右鍵->工作管理員->處理程序,看一下有沒有叫xwatmaf、rckywlq的兩個執行序程序。

以下為掃除木馬的程式,下載trojan remove
http://www.wretch.cc/blog/pkok123/13396183
安裝以後執行掃描,會發現這個木馬將自己藏在無數個exe檔中執行。(太可惡了)

將每一個被感染的項目清除,之後選擇重新開機。就將木馬從系統中移除了。

檢查您的所有隨身裝置有無藏特洛伊木馬程式
請用dos模式(開始>執行>輸入cmd)進入到每一個槽,請記得這時候插入每個裝置的時候都要選擇"不做動作",
並且不能開啟"檔案管理員",進行以下的指令。

首先進入dos模式,動作如下:
開始=>執行 , 打入 cmd (按確定)
ex: g槽

g: (切換到g磁碟)
attrib -h -s xwatmaf.exe
del xwatmaf.exe (刪除檔案)

attrib -h -s autorun.inf
del autorun.inf


參考資料:
http://linktu.spaces.live.com/blog/cns!F148BCE6AAEFDAB6!337.entry
http://wirs.wfc.edu.tw/mtss/view.php?id=7092

0推薦此文章
Today's Visitors: 0 Total Visitors: 81
Personal Category: ★電腦知識+ PC Knowledge Topic: technology / tech info / software
Previous in This Category: 啟動Windows內建的遠端連線程式   Next in This Category: Windows Live Messenger(MSN) 9.0 新注音的問題
[Trackback URL]

Post A Comment









Yes No



Please input the magic number:

( Prevent the annoy garbage messages )
( What if you cannot see the numbers? )
Please input the magic number

誰來收藏
Loading ...
unlog_NVPO 0