ygmdrm.exe病毒移除

昨天晚上興致一來開始替電腦減肥
於是一個資料夾一個資料夾檢查有沒有不要的檔案
看看看到最後卻看到病毒....
好吧
網路稱他做CLOAKED MALWARE
換句話說就是隱形惡意軟件

他路徑還頗奇怪的
在
C:\Documents and Settings\(USERNAME)\Application Data底下
()裡面取決於你的使用者名字叫什麼
我查了一下發現網路上還沒有中文資料
只有幾筆英文資料
目前看不出來有危害性(因為當時鄙人手很賤按了他好幾下都沒有出現電腦冒煙爆炸的現象，故暫時判定無害...)
但是可以確定它有部份跟EXPLORER.exe是綁在一起的
所以我先用UNLOCKER把它解開然後刪除

→UNLOCKER可以在阿榮他家抓到

之後直接用一般常見對付USB病毒AUTORUN.inf的方法
建立一個資料夾取做ygmdrm.exe
讓病毒暫時無法再生
然後到regedit裡面去搜尋ygmdrm.exe相關的機碼
只有找到一筆
但我忘記紀錄是哪一筆
總之刪掉就好
然後............我就這樣子跑去睡覺了
隔天起來把昨天做的假檔案刪除
也沒有再出現ygmdrm.exe這個檔案
目前看起來應該是沒有大礙

參考資料:
http://camas.comodo.com/cgi-bin/submit?file=81d6c433f351cdf9b7212e192f0a1fe5ef9fb4afbb81d9a9acc175c932fa70fb&iframe=
→這篇比較DETAIL，但顯然是給專業人士看的 沒有解法(那還講那麼多)

http://www.prevx.com/filenames/3110241079044609572-X1/YGMDRM.EXE.html

→這篇講一堆但就也是沒有講解法....

http://virus-com.com/viruscom/viruscom_99505.html
→這一篇是在講這隻病毒的定義，各家軟體偵測到的名稱，感染地區(沒有亞洲啊奇怪)
以及解毒方式

各家防毒軟體對這隻病毒定義的名字:
K7AntiVirus: Backdoor.Win32.Prorat.19.i
F-Prot6: AdWare.Win32.BHO.emn
Jiangmin: AdWare.Win32.Cinmus.acu
F-Prot6: PSWTool.Win32.PassView
K7AntiVirus: Backdoor.Win32.Gootkit
Jiangmin: Backdoor.Win32.Koutodoor
Norton Antivirus: Trojan.Win32.PsExec
A-Squared: PSWTool.Win32.Lolyda
G-Data: Trojan-PSW.Win32.LdPinch
G-Data: Adware.Win32.WSB
Panda: Adware.Win32.Trojan.Downloader.SpySheriff

轉載一下他可能的行為:

YGMDRM.EXE has been seen to perform the following behavior:

Writes to another Process's Virtual Memory (Process Hijacking)

Executes a Process

Injects code into other processes

Found on infected systems and resists interrogation by security products

Uses rootkit techniques to conceal its presence, interrogation or removal

YGMDRM.EXE has been the subject of the following behavior:

Created as a process on disk

Executed from Temporary Folders

Executed as a Process

Has code inserted into its Virtual Memory space by other programs

Deleted as a process from disk

Copied to multiple locations on the system

但我覺得我的電腦沒有全部發生耶.....

再觀察一下好了