新病毒警訊通知－TROJ_FAKEAV

發布日期：2011/10/21(五)

趨勢科技近期發現有新的FakeAV變種病毒，該病毒已經偵測為TROJ_FAKEAV.DSL與TROJ_FAKEAV.DSM。感染病毒後會有以下行為出現：

1.   桌面會跳出偽冒防毒軟體或系統修復自動掃描的視窗，並會顯示許多系統錯誤、磁區損毀、或感染病毒等的錯誤訊息

2.   桌面圖示全部消失

3.   開始功能表中的程式集消失

4.   檔案全部變成隱藏屬性

5.   工作管理員無法開啟

6.   我的電腦中看不到磁碟機

請更新最新版的病毒碼即可偵測與清除此病毒，由於FakeAV在感染系統的同時會對系統設定進行變更，您可使用趨勢科技所提供的FakeAV Remover工具進行FakeAV的掃描與系統的還原。Fake AV Remover工具的使用方式可參考本篇技術通報。
若使用過Fake AV Remover工具仍無法完全還原被病毒修改過的部分，您可依照以下步驟進行手動還原：

1.   重新開機進入安全模式（含網路功能）

2.   點選開始 > 滑鼠右鍵點選程式集 > 點選檔案總管

3.   在檔案總管中執行C:\windows\system32\cmd.exe

4.   在命令提示字元中依序輸入以下指令
attrib –h C:\*.* /s /d
attrib –h D:\*.*/s /d
若有其他磁碟機，變更磁碟機代號重複執行指令即可

5.   在檔案總管即可看到大部分的資料，請試著打開以下路徑：
C:\Documents and Settings\All Users\Application Data
C:\ProgramData
刪除可疑的亂碼程式，例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe

6.   下載修復登錄檔，解壓縮後執行restore_RET.1.reg

7.   重新開機回正常模式，調整開始功能表的設定

8.   檢查桌面、程式集、磁碟機、工作管理員等功能是否已恢復正常

趨勢科技建議您，FakeAV的感染途徑通常是由網頁或電子郵件散播，請勿瀏覽來路不明的網站，也不要任意執行不明郵件的附加檔案，更不要隨意在網路上搜尋來路不明的防毒軟體或移除工具，使用OfficeScan的客戶可啟用WRS服務以便降低感染FakeAV的風險。

Malwarebytes Anti-Malware v1.51.1 惡意程式掃毒、清除工具

關於"privacy protection"假防毒

鬼影专杀工具清除看看。

2011/10/26，如果系統能進安全模式的話，請選(網路連線)模式，然後安裝金山急救箱及顽固木马专杀，更新病毒碼之後做掃描。

這是藤的處理方式之一。

安裝大陸金山急救箱，這程式序有强力查杀木马+完美修复系统环境+彻底修复IE（浏览器）上网环境

2011/10/26補充：在安裝金山急救箱過程中，下面二個選項不要打勾，上面是一併安裝金山毒霸，下面是一併安裝金山卫士。

DOWNLOAD：顽固木马专杀

2011/10/24，先放上邱大哥的一個程式

DOWNLOAD：R-V-1001024  

用途：能將槽區下被隱藏的檔案通通顯示出來。這樣就不用一個一個去恢復了。C槽不要用。只能用C槽以外的磁區。

2011/10/23，遇到一台，一樣的狀況，桌面及檔案都遺失，

但後來連系統及安全模式也都進不去，只能砍掉重練。

所以趨勢的程式及邱大哥的程式也無法處理。