以下資料來源..朋友發送的MAIL
此隨身碟病毒會透過USB碟自動播放的功能感染,請將自動播放功能關閉,
如果發現如下感染的徵兆
1. 無法開啟隱藏檔案與資料匣設定
2. 執行程式的過程會自動終止
3. 在檔案總管中磁碟機按下滑鼠右鍵會出現亂碼文字
4. 在工作管理員中發現rckywlq.exe,wjkfyup.exe
5. 無法進入某特定網頁,如:學校web mail,
6. 無法進入安全模式
移除方法:
1. 需透過其他電腦使用安全模式開機,並將感染的硬碟設為副硬碟,在安全模式底下將各磁碟機的autorun.inf, xwatmaf.exe等檔案自根目錄移除
2. 至c:\Program Files\下移除meex.exe
3. 至c:\Program Files\Common Files\Microsoft Shared下及登錄檔中移除rckywlq.exe,wjkfyup.exe
4. 至c:\Program Files\Common Files\System下及登錄檔中移除rckywlq.exe,wjkfyup.exe
5. 至C:\WINDOWS\Prefetch下移除RCKYWLQ.exe,WJKFYUP.exe
6. 將硬碟接回原電腦,並使用病毒查殺工具將隱藏檔案與資料匣設定、無法進入網頁、無法進入安全模式修復
----------------------------------------------------------------------------------------------------------------------------
如何檢查自己有無中此木馬:
1. 開始=>執行 , 打入 cmd (按確定)
2. 進入c槽根目錄, 打入 cd\ (按確定)
3. 查詢所有檔案 dir /a/p (按確定)
4. 檢查自己有無autorun.inf, 以及奇怪的exe檔.
以這個木馬為例則是 xwatmaf.exe
5. 或者可以直接打開windows工作管理員
工作列點選右鍵->工作管理員->處理程序
看一下有沒有叫xwatmaf、rckywlq的兩個執行序程序。
以下為掃除木馬的方法感謝yao協助,下載trojan remove
http://www.simplysup.com/t...nload.html安裝以後執行掃描,會發現這個木馬將自己藏在無數個exe檔中執行
將每一個被感染的項目disable,之後選擇重新開機。
重新開機以後此時已經將木馬從系統中移除了。
但接著要將您的所有隨身裝置都檢查有無藏木馬
請用dos模式進入到每一個槽
請記得這時候插入每個裝置的時候都要選擇"不做動作"
並且不能開啟"檔案管理員"
進行以下的指令。
首先進入dos模式,動作如下:
開始=>執行 , 打入 cmd (按確定)
Ex: g槽
g:
attrib -h -s xwatmaf.exe
del xwatmaf.exe
attrib -h -s autorun.inf
del autorun.inf
