[glow=570,#8B008B,6]巴克雷Win32.Bacalid解毒程式[/glow]
【軟體名稱】:stinger
【檔案大小】:1.13 MB
【軟體截圖】:
【軟體簡介】:
病毒W32.Barcalid(巴克雷),會自動下載最新攻擊模式的特色,使得台灣為數不少大型企業在短時間內都遭受感染。W32.Barcalid病毒擴散及感染的動作很快,若是沒有全部的電腦都清除乾淨時,會不斷的透過網芳及檔案傳遞 (USB) 時感染其他電腦。
徵狀:
1.迅速快速蔓延各硬碟的EXE檔。
2.此病毒會自動上線更新,自動感染其他EXE檔。
3.若是沒有解毒,則電腦會開始越跑越慢。
4.電腦會自動複製文件desktop.ini,在各個硬碟、資料夾。
5.在簡體WINDOWS則不會發病。
6.重新開機時,會自動開啟記事本,內容是亂碼。
【使用說明】:
1.下載好之後,重新開機,連點F8,進入安全模式下執行該程式來解毒。
2.程式打開之後,按下(Browse)選擇你的硬碟,全部硬碟選擇好之後,再點下綠色那個球(Scan Now)
3.全機掃瞄完畢之後,再重新開機,回到正常模式,點選桌面左下角《開始》→《搜尋》,搜尋輸入DESKTOP.INI。
4.將找到的DESKTOP.INI全部刪除即可。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
日期:2006-09-20
名稱:感染可執行檔之W32.Bacalid檔案型病毒
類別:檔案型病毒
簡介: W32.Bacalid為一檔案型病毒,會將其自身注入至EXPLORER.EXE,然後進一步感染可執行檔(DLL、EXE),甚至毀壞EXPLORER.EXE。
受影響系統:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
內容: W32.Bacalid為一檔案型病毒,會將其自身注入至EXPLORER.EXE,然後進一步感染可執行檔(DLL、EXE),甚至毀壞EXPLORER.EXE。
病毒通常被置於下列位置:
%Temp%\vCab.dll
(注意:%Temp%指的是暫存資料夾。
預設為C:\Windows\TEMP (Windows 95/98/Me/XP)
或C:\WINNT\Temp (Windows NT/2000))
病毒W32.Bacalid被執行時,詳細行為過程如下:
1.檢查目前ANSI碼頁(code-page),如果為簡體碼頁(Simplified Chinese,936),則病毒停止所有攻擊行為。
2.將檔案vCab.dll注入(inject)至其它程式中。
一旦病毒將其自身注入至EXPLORER.EXE後,執行下列動作:
1.產生名為"WINXPGOD"的事件物件(event object)確保只有一病毒檔執行。
2.嘗試隱藏自身檔案。
3.試圖感染被EXPLORER.EXE檔開啟的可執行檔(DLL、EXE)。
4.企圖下載並執行存在於下列連結之檔案:
[http://]www.shuaiad.com/down/3[REMOVED]
[http://]www.shuaiad.com/down/4[REMOVED]
[http://]www.shuaiad.com/down/4an[REMOVED]
[http://]www.shuaiad.com/down/ad[REMOVED]
5.毀壞EXPLORER.EXE。
解決方案:
1.清除系統復原器 (Windows Me/XP)。
系統復原能夠使系統回復到預設狀態,假如電腦的資料毀損,則可以用來復原資料。若是電腦受到了病毒、蠕蟲或是木馬感染,系統復原也會記錄下。Windows預防任何外部程式來修改系統復原,當然也包括了防毒軟體。因此防毒軟體或是工具無法移除系統復原資料夾中的威脅。即使已經在其他的資料夾清除了感染的檔案還是有可能經由系統復原來回復受感染的檔案。
清除系統復原的方法可以閱讀Windows的文件或是參考以下網頁:
清除Windows Me系統復原
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
清除Windows XP系統復原
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
2.更新防毒軟體的病毒定義檔 (若無防毒軟體請略過此步驟)。
3.以安全模式或是命令提示列的安全模式重新啟動電腦。
4.使用防毒軟體執行全系統的掃瞄以及刪除所偵測到的檔案。
[注意]若是使用者電腦沒有安裝防毒軟體可以參考以下幾個線上免費掃毒網站:
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
建議事項:
-關閉或移除不必要之程式,減少管理風險。如FTP 伺服器, telnet, Web
伺服器。
-如果網路上提供服務之應用程式受到攻擊,立即關閉直到更新檔更
新完畢。
-常使程式版本維持最新。
-加強密碼機制。複雜度高之密碼較有安全性。
-設定郵件伺服器隔離或移除容易藏有病毒之附加檔,
如.vbs, .bat, .exe, .pif and .scr。
-隔離已受感染電腦防止更深一層破壞。
快速解法,試看看︰
1.如您已經中了此病毒,目前有兩個 W32 Bacalid 病毒移除程式
Symantec 解毒程式~
下載網址:訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
建議可先使用 FixBacalid 來解,解壓縮後於安全模式下執行移除病毒程序即可!
記得要先把垃圾系統還原關閉再執行~
另一個是 McAfee 解毒程式~
下載網址:訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
2.用 FixBacalid 來解,有一部份染毒檔可以修復(Repair)
如無法修復就只能刪除(Delete),看你的運氣了~
3.避免用戶端持續連線到惡意網站下載新的變種病毒程式
4.請務必於 防火牆 或 瀏覽器中 設定限制
4.至複製內容到剪貼板
代碼:
www.shuaiad.com、www.fkall.com、www.jackeryy.com網站的任何連線。
關閉方法 01:
關閉方法 02:
5.拔除網路連線,搜尋下列檔案如有發現一定要刪除
C:╲Program Files╲Internet Explorer╲svhost32.exe
C:╲Documents and Settings╲您登入的帳號名稱╲Local Settings╲Temp╲VCab.dll
C:╲Documents and Settings╲您登入的帳號名稱╲Local Settings╲Temp╲VGod.dll
C:╲Documents and Settings╲您登入的帳號名稱╲Local Settings╲Temp╲1.exe
C:╲Documents and Settings╲您登入的帳號名稱╲Local Settings╲Temp╲3.exe
C:╲Documents and Settings╲您登入的帳號名稱╲Local Settings╲Temp╲5.exe
C:╲Documents and Settings╲您的入的帳號名稱╲Local Settings╲Temp╲ad004.exe
不知道 什麼 是 您的登入帳號名稱 嗎 ?
請 按 您的電腦 桌面 的 左下角
開始 → 電腦關機 的 上面 有一段 → 登出 xxxx 嗎 ?
xxxx = 您的登入帳號名稱
假設:您的 xxxx 是 super7 的話
C:\Documents and Settings\您的登入帳號名稱\Local Settings\Temp\3.exe
變成 C:\Documents and Settings\super7\Local Settings\Temp\3.exe
用檔案總管搜尋以下幾個檔案︰
ad001.exe、ad003.exe、111.dat、222.dat、333.dat、09751.com、AdCount.com
desktop.ini 出現 在 程式集 裡 的
啟動、附屬應用程式、快速啟動列、我的文件、我的音樂、我的圖片…
很懶的話就直接刪除,很閒的就一個一個進去資料夾打開 desktop.ini
裡面的內容如果有
LocalizedResourceName=@%SystemRoot%╲system32╲shell32.dll,-21787
這一行的話,就把這一段刪除就好,記得存檔,詳細資料
5.執行全系統掃瞄,目前受感染的檔案是無法進行修復的
只能將偵測到的受感染檔案刪除
由於此病毒是藉由檔案總管 Explorer.exe 來感染的,而 Explorer.exe會將檔案鎖定 Lock
所以防毒軟體無法直接刪除
故刪除檔案的動作請在命令提示字元(MSDOS)模式中刪除。
執行完成後建議重新啟動電腦。
6.電腦重新啟動完成後,從乾淨的原始檔案或備份檔案中還原己遭刪除的感染檔案。
7.將病毒威脅修復排除後,若有發生無法上網情況時,應該是電腦的網路組態中 Winsock 設定遭修改綁架,可以下列方式進行修復:
Windows 2000 及 WindowsXP SP1:可下載 WinsockXPFix.exe 程式進行修復。
下載網址:訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
WindowsXP SP2 也可下載上述程式,或者自行在開始 -> 執行 輸入 Netsh winsock reset
進行修復,修復完成後重新啟動系統。
消極的解法︰
刪除所提及的木馬,建立預防檔案
建立方法為新增一個純文字文件,把檔名直接改成如下檔名即可。
在 C:╲Documents and Settings╲您登入的帳號名稱╲Local Settings╲Temp╲
資料夾裡面建立下面幾個檔案,將屬性設為唯讀
ad001.exe
ad002.exe
ad003.exe
ad004.exe
AdCount.com
VCab.DLL
VGod.DLL
111.dat
222.dat
333.dat
1.exe
2.exe
3.exe
4.exe
5.exe
09751.com
在 Windows 資料夾裡建立 kb20060111.exe。
在 System32 資料夾裡建立 wincfgs.exe。
在 C:╲Program Files╲Internet Explorer 資料夾裡建立 svhost32.exe。
將剛剛建立好的檔案,點選右鍵,選擇「內容」,將「唯讀」的框框打勾,按確定。
設定好後要再按內容看一次確定有選到唯讀。
這樣的作法是讓病毒無法產生那些病毒檔,避免他去感染其他exe檔!
注意請不要刪掉這些你建立的檔案
至少在各大防毒軟體廠商發佈可偵測到此病毒的病毒碼前避免刪除。
解法好消極啊~有沒有用勒~說過了,微軟漏洞太多,補不完啦~
一套好的防毒軟體與防火牆才是重點~
聽說 BitDefender Antivirus Plus v10 防毒程式
可以有效偵測並殺除此一木馬喔~
鄉親啊!
如果因為這樣就棄 Kaspersky 卡巴斯基,投入 BitDefender 的懷抱的話
未免太現實了點,此一木馬不僅鑽研微軟漏洞
更研究如何繞過、騙過知名掃毒軟體的方法。
且此木馬只針對繁體中文作業系統,因此大都僅限於台灣的感染
能夠先嘗試過最新型的病毒、木馬
未嘗不是壞事~掃毒軟體偵測並殺掉幾個月前的病毒木馬
這樣太無趣了,偶爾自己身先士卒,手動清毒一下嘛~
卡巴斯基 Kaspersky 也不是笨蛋啊,此類多重隱身、欺騙、自動更新的木馬
將會是下次 Kaspersky 前攝防禦(免疫防毒)引擎更新的重點,就降啦~
緊急更新啊~
修補微軟官方修正程式
Windows 2000 安全性更新
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
Windows XP 安全性更新
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
刪除病毒啟動與登陸檔
下載後解壓縮執行兩個執行檔就可自動殺毒
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
[
本帖最後由 蔡逸竹 於 2006-10-30 19:14 編輯 ]
