Easy Bicycle Life

[computer] 電腦病毒 explore.exe, msdtr.exe, wauclt.exe

最近實驗室的電腦又有人帶來新的隨身碟病毒
這個電腦病毒會在隨身碟上加上兩個檔: explore.exe, autorun.inf
autorun.inf 告訴隨身碟在開啟後，自動執行 explore.exe
然後可能是在電腦內加裝 msdtr.exe, 和 wauclt.exe，之後一正常開機，系統就會執行 wauclt.exe, 這個程式和 msdtr.exe 可能傳送資料給各有問題的網站，取得使用者資料，且在爾後的隨身碟插上後再給與 explore.exe, autorun.inf 幫忙這個病毒的傳撥 (以上感染流程是猜測，沒有實際測試過)
p.s. explore.exe 和 windows 內的 explorer.exe 很像，製造這個病毒的人想利用此掩人耳目
wauclt.exe 則是和 wuauclt.exe (也是 windows 內就有的程式) 很像

解毒法一：
實驗室用卡巴斯機在安全模式下掃瞄並且刪除 msdtr.exe, wauclt.exe, 用檔案總管開啟隨身碟 (不要讓它自動開啟)，刪除 explore.exe, autorun.inf

解毒法二 (手動)：
叫出工作管理員，停止wauclt.exe，搜尋 wauclt.exe 及 msdtr.exe，應該在 C:\Documents and Settings\使用者\local Settings\Temp，刪除兩者。
執行 regedit -> 搜尋 wauclt 及 msdtr，在 My Computer\HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603 000 wauclt 001 msdtr => 刪除兩者

My Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows load C:\Documents and Settings\Ching-Shin\local Settings\Temp\msdtr.exe => 刪除此

My Computer\HKEY_CURRENT_USER\S-1-5-21-3841207103-2882314305-3115493963-1005\microsoft\windows\CurrentVersion\Run SCMTool C:\Documents and Settings\Ching-Shin\local Settings\Temp\wauclt.exe =>刪除此

方使用方法一辦法刪除 explore.exe, autorun.inf