中木馬 發現pagefile.exe autorun.inf

Question

開隨便一個槽
卡巴斯基都會警告槽內的pagefile.exe有木馬
我知道每個槽內pagefile.sys是記憶體分頁檔
但我的變成exe檔了 ...... 手動砍掉的話 那個槽就不能讀取了
且我每個槽都有此狀況
..... 似乎用卡巴斯基隔離掉 又會被別槽傳染
請問該怎解此木馬

我開啟"檢視系統保護檔案" 所看到的FILE
RECYCLER<=====資料夾圖示....
Recycled<=====回收桶圖示
System Volume Information
autorun.inf
pagefile.exe<=====執行檔圖示

請問阿酷
我按照你的步驟
但沒找到
usbmons.exe和usbmons.dll
應該不是隨身碟病毒吧?!
不過 我用卡巴斯基掃毒
顯示隨身碟的System Volume Information資料夾中
有病毒跟木馬 無法清除 所以我直接砍檔
但似乎沒用 還是發生以下網頁的情形

http://tw.knowledge.yahoo.com/question/question?qid=1007012304230

剛發現 確實
我隨身碟才有
Recycled
RECYCLER
pagefile.exe
autorun.inf四個檔

本機磁碟並沒有
但另一台PC 似乎都中了
連本機磁碟也有這四個檔了

請問 我如果拷貝檔案出來至另一硬碟
再FORMAT中毒的磁區
也會一併把病毒木馬摳出來嗎

Answer 1

強力清除 木馬程式病毒 壓縮檔 (Powermv. zip) 網址
http://dl.filseclab.com/down/powerrmv.zip

此檔案程式可以強力清除受到木馬程式感染的病毒(部分受感染病毒很難清除，便可使用此程式 “強制” 清除受木馬感染的檔案)．
a. 開啟 “強力清除木馬程式病毒 壓縮檔”
b. 在 “PowerRmv.exe” 點兩下後，會出現一個要你們輸入 “檔案名稱” 的欄位，這個輸入檔案名稱的欄位旁有一個正方形圖示，可以從這個圖示點入去尋找受到木馬感染的檔案(也就是說你們要先記下被木馬程式病毒感染的 1.檔案名稱及2. 位置)
c. 找到受感染檔案之後，按確定．
d. 將 “抑制檔案再次生成” 打勾．
e. 最後按 “清除” 便可強制清除受到木馬感染的病毒．
第2:
"卡巴斯基軟體"可以掃毒它如果偵測出木馬程式,
的話它會自動移除掉那個程式(exe)!!
我家之前也有中木馬程式,但是有人幫我灌卡巴斯基防毒Personal Pro所以電腦就好囉!!

卡巴斯基軟體介紹
軟體本名:卡巴斯基防毒Personal Pro
用途:掃毒

木馬程式介紹
本名:木馬程式
由來:
木馬程式名自於荷馬的史詩--特洛伊木馬屠城記
顧名思義,就是潛藏在你電腦中的惡意程式
藉由它,可將你電腦的資料經由網路傳送給特定的人
通常是你的網路遊戲帳號密碼
所以不要下載來路不明的外掛!!

建議你使用史上最強的「卡巴斯基」掃毒看看，不行的話就要重灌電腦了!

下載卡巴斯基:
http://210.240.1.23/~kaspersky/products/homeuser/kavpersonalpro/kav5.0.388_personalpro_cht.exe
下載後開啟卡巴斯基
看到左邊
點掃描我的電腦或掃描物件即可

第3:
這是一個免費的軟體，

幾乎什麼檔案都刪得掉。(操作介面還是中文的喔~)

CHT KillBox 2.0.0.17(檔案強制刪除工具)

[img]http://img240.exs.cx/img240/482/killbox8at.jpg[/img]

軟體簡介：
軟體名稱：KillBox 刪除檔案器
軟體版本：2.0.0.17
軟體語言：中文化版
軟體類別：殺毒軟體
軟體大小：120KB
授權方式：免費軟體
相關鏈接：http://www.bleepingcomputer.com/files/killbox.php
運行環境：WIN9X/WINME/WINNT/WIN2000PRO/WIN2000SER/WINXP/WIN2003
軟體型式：免安裝中文化版

【KillBox 是國外反病毒論壇很受歡迎的工具軟體】
KillBox 實質是一個刪除任意檔案的利器，它不管這個檔案是EXE還是DLL等其它檔案，也不管這個檔案是正在執行中，還是被系統調用了，KillBox 都可以簡單幾步就將檔案刪除。

正因如此，KillBox 在反病毒方面使用非常之棒。現時流行類病毒（蠕蟲、木馬）很多均為單獨的病毒檔案，與系統無關，可以安全刪除此類病毒檔案。但在刪除過程，由於病毒的狡滑，總是很難刪除，這連國際知名安全軟體產商也推薦在安全模式殺毒。

有了 KillBox ，一切變得簡單多了，首先確認了這是病毒的檔案，再填上病毒檔案的完整路徑，或通過瀏覽選取此病毒檔案，按程式裡的那個X圖示(並不是右上角的那個喔~)就行了（某些病毒可能需要重啟電腦）。
這個木馬程式有些是隱藏檔 官方的掃駭程式.PC.鐵賽.諾頓.都是掃不出來的。

1.惡意病毒：hookit『鍵盤側錄程式』
視窗左下→按開始→按尋找→選檔案或資料夾→名稱輸入hookit
→查詢那邊先找c槽然後d.e.f(看你有幾個都要找一次)
→然後按立即搜尋讓它搜尋一下，
如有找到此檔，代表你的電腦內有『鍵盤側錄程式』，
●處理方式：對著他點一下，然後按一下Delete那顆把它刪掉。

2.惡意程式：smcsvr『木馬程式』
用同樣步驟把hookit換成smcsvr再搜尋一次，
如有找到此檔，則代表您中了『木馬』。
找到smcsvr按Delete是無法刪除的，因為它會說他正在執行。
●處理方式：開始→執行→輸入msconfig→按確定→選擇最右邊的『啟動』→
把SMCsvr.exe(有時候有好幾個)打勾取消(然後先不要按確定或是套用)，
到視窗左下→按開始→按尋找→選檔案或資料夾→名稱輸入smcsvr→
然後搜尋smcsvr找到後把它刪除，需重新開機。

Answer 2

這個好像是隨身碟病毒，我自己也遇到相同問題

有找到解毒的方法，我自己這樣解好像沒有問題了

>>

記的開啟顯示所有檔案與系統檔

第一:我覺得關掉自動播放的功能會比較好
先在執行的地方打上gpedit.msc
出現群組原則後在>電腦設定>系統管理範本>系統 中的
關閉自動播放 選已啟用 在下面選所有磁碟機 離開
接下來也在執行處打上 cmd
於>後打上 gpupdate 讓設定馬上生效
(限XP以上而且還是專業版的喔)

第二:到C:%windows%system32中
找一個檔案(為病毒檔)為usbmons.exe和usbmons.dll
正確的系統檔是沒有s的
找到後(可能只找到.dll那個檔)更改檔案名稱(如u.dll)

第三:執行處打regedit來執行登錄編輯程式
於搜尋處尋找usbmons，找到機碼DLLName後因為它是寫成
c:%windows%system32%usbmons.dll
把s去掉，然後離開

第四:重新啟動電腦
還記的u.dll那個你修改的檔嗎?記得要將它刪掉

第五:插上隨身碟，如果隨身碟有autorun.inf(掃毒程式應該會發
現並隔離)，也一並把recycler資料夾刪掉，ㄏㄏ病毒就解完了

>>您試試看，如果有幫助，記的要告訴大家喔