Shunze 學園 >電腦資訊學系 >病毒追追追 > 《分享》怪怪Driveinfo.exe 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380

shunze 離線
《分享》怪怪Driveinfo.exe引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

同事反應其外接隨身碟無法在「我的電腦」中直接打開!?
直接打開會跳出一個“功能錯誤”的訊息,無法直接開啟...
要開這個隨身碟,都必需透過「檔案總管」的模式才能讀取其中資料。

當下第一個反應,一定是該隨身碟的根目錄中有autorun.inf這個檔案所致!

打開『隱藏檔案及資料夾』及『隱藏保護的作業系統檔案』檢視該隨身碟,
果然在該根目錄中有autorun.inf這個導引檔。

其內容如下

[AutoRun]
Open=.\Recycled\Driveinfo.exe
Shell\Open\Command=.\Recycled\Driveinfo.exe


也就是說,當我們在「我的電腦」中想要直接打開該隨身碟的話,
都會受autorun.inf的導引而去執行病毒Driveinfo.exe
最後下場就是中毒...

不論我們刪除autorun.inf多少次,
病毒都會自動幫我們重建它,而且還加上唯讀屬性。
讓我們無法修改autorun.inf的內容!

在系統目錄下搜尋病毒本體Driveinfo.exe,我們會發現它的存在!
不過因為Driveinfo.exe在執行狀態,所以我們即使找到它也無法刪除...


解毒方法如下
  1. 首先必需停下該病毒的執行程序。
    在「工作管理員」中找到inetsrv.exe這個病毒程序,然後結束它。
    這時候我們會發現系統目錄下Driveinfo.exe已經可以刪除了。
  2. 然後使用「檔案總管」到C:\windows\system32\資料夾刪除inetsrv.exeDriveinfo.exe這個兩個病毒程式。
  3. 接著以「檔案總管」到中毒的隨身碟中,刪除Recycled這個隱藏資料夾下的病毒檔案。
    包括driveinfo.exedriveinfo.sdcvoinfo.dll
    同時也別忘了將根目錄下的導引檔autorun.infautorun.ini一併刪除。
  4. 最後到「註冊機碼」工具中,搜尋inetsrv.exeDriveinfo.exe
    將所有找到的機碼、鍵值全部殺掉。

重新開機,這時您的外接隨身碟應該恢復正常囉∼



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2007-05-05, 11:07 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR