新病毒警訊通知－TROJ_FAKEAV

【力】趕緊PO上網來，讓其它也中相同病毒的人能夠受惠！

【力】只能跟防毒軟體公司說：SORRY 囉.



註:什麼是Fake AV ,這是一種假的防毒軟體

趨勢科技近期發現有新的FakeAV變種病毒，該病毒已經偵測為TROJ_FAKEAV.DSL與TROJ_FAKEAV.DSM。
感染病毒後會有以下行為出現：

1.   桌面會跳出偽冒防毒軟體或系統修復自動掃描的視窗，

      並會顯示許多系統錯誤、磁區損毀、或感染病毒等的錯誤訊息

2.   桌面圖示全部消失

3.   開始功能表中的程式集消失

4.   檔案全部變成隱藏屬性

5.   工作管理員無法開啟

6.   我的電腦中看不到磁碟機

請更新最新版的病毒碼即可偵測與清除此病毒，由於FakeAV在感染系統的同時會對系統設定進行變更，您可使用趨勢科技所提供的FakeAV Remover工具進行FakeAV的掃描與系統的還原。Fake AV Remover工具的使用方式可參考本篇技術通報。

若使用過Fake AV Remover工具仍無法完全還原被病毒修改過的部分，

您可依照以下步驟進行手動還原：

1.   重新開機進入安全模式（含網路功能）

2.   點選開始 > 滑鼠右鍵點選程式集 > 點選檔案總管

3.   在檔案總管中執行C:\windows\system32\cmd.exe

4.   在命令提示字元中依序輸入以下指令

attrib –h C:\*.* /s /d

attrib –h D:\*.*/s /d

若有其他磁碟機，變更磁碟機代號重複執行指令即可

5.   在檔案總管即可看到大部分的資料，請試著打開以下路徑：

C:\Documents and Settings\All Users\Application Data

C:\ProgramData

刪除可疑的亂碼程式，例如6DSS92c31Apgjk.exe和iXeCoRGTCNoNBmj.exe

6.   下載修復登錄檔，解壓縮後執行restore_RET.1.reg

7.   重新開機回正常模式，調整開始功能表的設定

8.   檢查桌面、程式集、磁碟機、工作管理員等功能是否已恢復正常

趨勢科技建議您，FakeAV的感染途徑通常是由網頁或電子郵件散播，請勿瀏覽來路不明的網站，也不要任意執行不明郵件的附加檔案，更不要隨意在網路上搜尋來路不明的防毒軟體或移除工具，使用OfficeScan的客戶可啟用WRS服務以便降低感染FakeAV的風險。

趨勢科技敬上

【力】補充：

 2011/10/23，一樣的狀況，桌面及檔案都遺失，

 但後來連系統及安全模式也都進不去，只能砍掉重練。

 所以趨勢的程式也無法處理。