LNK惡意程式？

引用原文…協作平台…

文章「圖片」有不能顯示時，請點協作平台…感謝…


前一陣子，至同學家同學把他用好一陣子的電腦交給我，說什麼執行很慢…
當然，這是一個很好的學習機會，看看到底是搞了什麼東西進電腦裡？


這時，一定用我「防寫」的usb隨身碟，來使用常用的工具，以免到時usb隨身碟遭到波及…
開始用最常用的工具「程序檢視器」，這東西簡單又好用，又可以開關及移除一些啟動時的最佳工具…


哇咧，這是什麼東西？名稱是標「expiorer」（瀏覽器為explorer）但是出現的是筆記本的圖像…
內部名稱和描述都正確，但看起來還是有點給他怪怪的…

下圖為正確的…

再查查其他的程式…
svchost.exe執行的「路徑」都跑到不知道去哪了…怪怪…竟在「c:\windows\system」裡，當時被發現時還是隱藏起來，真是…
而且，在左下角紅框（排謝，被輸入法擋住了），也沒標名版本及公司…看來是「無名」版的…

問題是，中了這些東西連卡車司機都沒發現？一查，原來過期了…
後面把這些樣本弄到我電腦裡，avast一直狂叫，按到我的都手酸了…

這個「acovcnt」是啥？連個版本資訊都沒有…是「偷渡客」嗎？
先暫時解除使用，並到他的目錄裡面把這個執行檔（exe）改成exe-vir（可疑檔案）先！

這個應該也是什麼「假工具列」的惡意程式…（一
所以奉勸各位，不要亂安裝來路不明的「工具列」程式，以免引狼入室丫…

googledesktopqqplugin<-這是啥米東西？怪…

一般而言左下角和版本資訊都會出現一些基本資料，但少數是沒有的，而也不是「惡意程式」（這比較少見）…

各位老大看看，偶寫的程式（黑桃二）也是有版本資訊來的喲！

檔案總管裡，點工具，點資料夾選項，把「隱藏保護作業系統檔案」並「顯示所有檔案和資料夾」…
確定後，再重覆一次，看看是否又勾回來？

當然，不出所以料，又勾回來了，基本的「kavo」型態…
不過出動了kavo殺毒（白金版）沒多久就跳回來了，看來變種的情形愈來愈多了…

喂…同學，你的電腦「中很大」咧…

趁著還沒不見時，把下列圈起來的檔案統統改名去…

這時，用dos模式會快一些…

對了，有些惡意程式很糟…他會拿其他程式來替代userinit.exe（沒它會一直登入再登出，無法正常登入）或者當惡意程式遭到刪除，他也就一併被刪掉…
這方面到時再遇到時再做補述…（嗯，還是有哪位大哥能夠更進一步說明的？煩請指導）

當幫我同學病毒及惡意程式統統集合完時…忘了看下圖的userinit.exe還在不在…
（個人的資料、照片是都整理出來了，是有重灌的準備）

結果，下次開機就在那裡登入登出進不去了…:p，搞到最後真的只能重灌…昏…

記起了同學重灌的教訓…

又再次遇到同樣的狀況，哈…這次並沒有忘記看看userinit.exe有沒有拿掉…

果然被偷走了…趕緊補上userinit.exe…

這是正常的…（版不對不知道是否可用？不過應該會有問題吧？我是沒試sp3和sp2是否可通，沒那麼多美國時間…）

哦，對了！在執行裡打msconfig裡的「啟動」好像沒法看到userinit.exe的資訊哦！

那些中毒的檔案我也沒算共多少支…一共壓縮成二個檔…
其中一個小檔解開沒多久…avast就狂叫…

avast真的算蠻強的…不過上網還是要注意丫…

「疫苗再強，打了還是有人會感冒」！切記！

狂叫…又是按到手酸…

捉到假的svchost.exe，少了個版本資訊…

下圖這位是真的…

小型的犯人集中營…
天丫，bat（批次檔）可以寫到一百多k是寫些啥丫？

檔名明明是批次檔…但是卻無法在dos下執行的東西？而且應該是可以看的懂的文字吧？怪…

該說的都說了，來路不明的程式少用…
不明的網頁別亂點，以免電腦生病中毒丫…


如有錯誤，煩請指教！

感謝耐心觀看！

工具：程序檢視器