(冬天煮火鍋,正把火鍋料們倒進鍋裡,突然......)
火鍋女神隨著沸騰的蒸氣現形:「你掉的是金菇(左手),還是銀菇(右手)?」
「不不,我掉的只是擔子菌類的金針菇子實體......煮火鍋用的。」

症狀:一開始我發現隨身碟跟虛擬磁碟根目錄出現難以刪除又不能開啟的以下檔案(表示是系統服務正在使用的檔案,而且正掛載svchost上),用UNLOCKER刪掉又會出現。

sojcice資料夾,內含obucicarapice.exe,以及鼎鼎大名的autorun.inf,隱藏檔。可能需要使用cmd命令列輸入dir /a 才能看到 不過我是只打開檔案總管就見到了。

後面會提到會有 C:\Users\電腦帳戶名稱\fswagz.exe 這個檔案,以及工作管理員看到正在執行svchost.exe(USER權限) 

隨身碟怎樣都移除不了,顯示仍有程式使用其中檔案,只能強制拔。(害我手機記憶卡理所有音樂都破壞消失了!)

我的電腦是Windows 7 家用進階版,64位元系統筆電。

我做了什麼:

使用McAfee Security Scan Plus以及NOD32 免費線上掃毒都沒有掃出這個檔案來(病毒太新了)
很忙碌沒空手動清理,掃一晚上卻掃不出,感覺真不佳。

一開始當然先檢查工作管理員等處,看有沒有可疑程式和服務正在運行。
以前用的冰刃到了Win 7 64位元下是不能用了,真可惜。
順道一說,我被系統服務svchost所誤導結果花了不少時間一個個查看服務囧"

我對Windows XP 系統常駐運作的程式比較熟悉,Windows 7以及ASUS筆電的常駐程式就很不熟,於是一個個上網查先,順便熟悉下。

當我查到 AsusWSService.exe 時(我想這個應該是ASUS家安全的檔案啦),找到這個網頁:
http://www.freefixer.com/library/file/63888/
內容不重要,只是文章下面有一段"一些無恥的自我推銷:)"XD因為覺得很好玩就看了看,節錄於此

And now some shameless self promotion ;)
Hi, my name is Roger Karlsson. I've been running this website since 2006. I want to let you know about the FreeFixer program. FreeFixer is a freeware tool that analyzes your system and let you manually identify unwanted programs. Once you've identified some malware files, FreeFixer is pretty good at removing them. You can download FreeFixer here. It runs on Windows 2000/XP/2003/20008/Vista/7. Supports both 32- and 64-bit Windows.

感覺不錯啊XD而且對支持的系統寫得很清楚,正好缺這樣功能的軟體(以前XP的都不適用了)於是就載來裝(如果也想裝的話不妨進上面網址找這則廣告或是Google搜尋Free Fix)

這個軟體是"Free fix v0.58"

快速安裝好後Scan按下去就行了,這個軟體比較特別的是他不是掃毒軟體,他只是很忠實的詳細顯示出一些常會被病毒影響的東西,是什麼得自己看。
我看到的有電腦正在執行的程式、autorun.inf服務、開機自動啟動、瀏覽器的外掛插件及設定、svchost.exe及Explorer.exe、Rundll正掛載的模組及其他應用dll、驅動程式-這一堆東西相關的登錄碼以及檔案路徑、最近改動的檔案等,有些你打勾他就會替你清理復原。另外他有附工具File Nuker刪除無法刪掉的檔、Windows System File Checker
免費快速,資料表示很清楚,很推薦大家裝來用:D

回到正題,於是Freefix搜出了這條機碼:(搭配開始/執行/regedit找確認)

在HKEY_USERS\S-1-5-21-1440885107-2121350105-3066318779-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
有字串"Shell"資料內容為"explorer.exe,C:\Users\[電腦帳戶名]\fswagz.exe"

呵這個檔案大有蹊蹺啊,沒事跟著explorer.exe執行,大多沒好貨。不過這證實了原來他是附在explorer當背後靈,不是svchost,竟然還沒先去檢查,我笨了XD
打勾讓Freefix恢復,但是沒效,又自動變回去了。雖然找到檔案,管理員內又見不到名為fswagz.exe的程式在跑。

上網搜尋"fswagz.exe",發現這是一個新病毒,資料如下(為了記錄以及搜尋引擎存,太無趣請跳過不看XD)

=====================================

http://www.latest-virus.com/tag/fswagzexe

fswagz.exe has been detected as a threat file and the samples we received is a trojan file. We advice you remove this trojan file asap.
fswagz.exe sample submitted on 2011-03-12 and identified as a threat.

Alias:
Threat File:fswagz.exe Submit time:2011-03-12 Excute time:4 min 9 sec
Level of Spread:3 Level of Threat:4 type:Win32:Alisa Filesize:28K Bytes
Files type
fswagz.exe is Windows exe file.
MD5:R210hDk270I71P206nmhH1LowA3ul8Oc
SHA1..:aNNI3k6OW0qVMx5CB773pLt71iR16Ywj0VVQQ6TW
Path:
D:\System Volume Information\ _restore…\fswagz.exe
Report Countries:
France
Antivirus Program Report:
K7AntiVirus: Backdoor.Win32.Agent.qti
Norton Antivirus: AdWare.Win32.SuperJuan.dfa

http://www.greatis.com/appdata/d/f/fswagz.exe_Removal.htm

 

fswagz.exe
We suggest you to remove FSWAGZ.EXE from your computer as soon as possible.
MD5 of FSWAGZ.EXE = 09116AB8DAF946CF6FB2EAEDC1D3BAD3
FSWAGZ.EXE size is 118272 bytes.
Full path on a computer: %USERPROFILE%\FSWAGZ.EXE
Related Files:
%USERPROFILE%\FSWAGZ.EXE

http://www.prevx.com/filenames/X1592695421062652395-X1/FSWAGZ.EXE.html
(太長,這裡有關其他fswagz.exe可能改成的名字)

 

http://www.jiangmin.com.tw/show_news.asp?n_id=631
英文名稱:Trojan/Pincav.lnd
中文名稱:“惡推客”變種lnd
病毒長度:114176字節
病毒類型:木馬
危險級別:★★
影響平台:Win 9X/ME/NT/2000/XP/2003
MD5 校驗:25fb6410ef8c28df6a0e3927b542e04b
特徵描述:
    Trojan/Pincav.lnd“惡推客”變種lnd是“惡推客”家族中的最新成員之一,採用高級語言編寫,經過加殼保護處理。 “惡推客”變種lnd運行後,會在被感染系統“%USERPROFILE%\Local Settings\Temp\”文件夾下釋放惡意程序“954.exe”,然後將其複製到“%USERPROFILE%\”文件夾下,重新命名為“fswagz.exe”。 其會將惡意代碼插入到系統桌面程序“explorer.exe”中隱秘運行,後台執行惡意操作,以此隱藏自我,防止被輕易地查殺。 “惡推客”變種lnd運行時,會在被感染系統的後台秘密監視用戶的鍵盤輸入,竊取賬號及密碼等機密信息,並在後台將竊得的信息發送到駭客指定的遠程站點或郵箱裡(地址加密存放),從而給被感染計算機用戶造成了不同程度的損失。 後台連接駭客指定的遠程站點“188.165.*.133”,可能進行惡意程序下載等操作,從而給系統用戶造成了更多的威脅。

============================================

原來這個玩意那麼新啊(20100312)難怪防毒抓不到。
不過最後一個來自江民的中文資料裡的954.exe並沒有找到,不知道是否是這個木馬。

關掉explorer.exe依然刪不掉,在網上又搜到這篇BLOG文:討厭的病毒又一隻 -- ohydy.exe
http://itgroup.blueshop.com.tw/towns/hc?n=convew&i=180068
文末提到:
"同類型的C:\Documents and Settings\[user]\Application Data\fswagz.exe
不過,這支程式在啟動後,會以svchost.exe這個程序名稱顯示,並由[user]啟動,必須結束該處理程序後,才能刪除fswagz.exe這支程式"

看了看真的有個svchost.exe正在執行,而且系統正常的svchost.exe應該不會是User使用者啟動的。

把它停止掉之後再用Freefix掃描就可以讓它改掉那個登錄檔,正常版Shell應該內容是"Explorer.exe"而已

然後現在隨身碟裡那兩個檔、fswagz.exe都可以輕易delete了。

Freefix裡可以順便幫忙刪掉各個隨身碟裡的autorun.inf,但是sojcice資料夾要自己刪。

END。應該是清除完畢了。

這一個比較奇特的新隨身碟傳染病毒,網上未有清楚記錄,謹放上清理過程供各位參考,可以找我要病毒檔案。

另外見到此文者,如果你12號後曾經使用過我的隨身碟或是插隨身碟到我的電腦上,或是15號後曾在生科館4樓教室用過隨身碟而有症狀的(我不清楚該電腦有無還原功能,會去確認),請聯絡我,我會負責任替你清除的。當初就是從生科4樓其中一個教室電腦染來的囧,誰電腦或碟有症狀我可以替你殺,趕快杜絕這個防毒防不了的東西,不然我存上課檔每次自己電腦都會再重新中毒,殺不完啊。

創作者介紹

以歌者之名流浪                         

jaacnaett 發表在 痞客邦 PIXNET 留言(1) 人氣()


留言列表 (1)

發表留言
  • 日誌版本 Womicry
  • 最近也在隨身碟發現這病毒,拍照留念XD
  • 拍照XD 好主意
    你的名字和網誌都大有趣啊:D

    jaacnaett 於 2011/04/05 16:53 回覆

找更多相關文章與討論