請問,中了這種新型隨身碟病毒,有解嗎?
贊助商連結
spplkk2003 2010-10-18, 11:47 PM 請問一下目前有中一隻隨身碟病毒~
狀況如同下方網頁連結:
http://blog.xuite.net/ginmfdhk/blog/34677861
系統資料夾和RECYCLED即便你在資料夾選項打開,依然看不到這兩個!!
autorun內的指令如下:
systemID=3047933.com -hide
open=3047933.com -hide
shell\open=打開[&O]
shell\open\command=3047933.com -hide
shell\open\default=1
shell\explorer=資源管理器[&X]
shell\explorer\command=3047933.com -hide
中毒情況,會一直重複執行AUTORUN及3047933.COM及DCIm.exe(會將原本的DCIM資料夾隱藏,再新建
DCIM.EXE)
請各位網兄幫忙一下,因隨身碟那邊一次中了四五台,重灌真的很麻煩@@
我插上附硬體鎖的隨身碟會出現attrib.exe及spoolsv要侵入有硬體鎖的隨身碟內。
附檔有毒,請注意使用。
正版卡巴6.0R2(企業版)、卡巴正版2011、AVAST試用皆無法檔下。
贊助商連結
2852465.exe
Submission date:
2010-10-18 01:05:17 (UTC)
Current status:
finished
Result:
20 /43 (46.5%)
VT Community
not reviewed
Safety score: -
Compact
Print results
Antivirus Version Last Update Result
AhnLab-V3 2010.10.17.01 2010.10.17 Packed/Upack
AntiVir 7.10.12.232 2010.10.17 -
Antiy-AVL 2.0.3.7 2010.10.17 -
Authentium 5.2.0.5 2010.10.17 W32/Heuristic-210!Eldorado
Avast 4.8.1351.0 2010.10.17 -
Avast5 5.0.594.0 2010.10.17 -
AVG 9.0.0.851 2010.10.17 Suspicion: unknown virus
BitDefender 7.2 2010.10.18 -
CAT-QuickHeal 11.00 2010.10.15 (Suspicious) - DNAScan
ClamAV 0.96.2.0-git 2010.10.18 PUA.Packed.UPack-2
Comodo 6423 2010.10.18 -
DrWeb 5.0.2.03300 2010.10.18 -
Emsisoft 5.0.0.50 2010.10.18 Backdoor.Win32.PcClient!IK
eSafe 7.0.17.0 2010.10.17 Suspicious File
eTrust-Vet 36.1.7914 2010.10.15 -
F-Prot 4.6.2.117 2010.10.17 W32/Heuristic-210!Eldorado
F-Secure 9.0.16160.0 2010.10.17 -
Fortinet 4.2.249.0 2010.10.17 -
GData 21 2010.10.18 -
Ikarus T3.1.1.90.0 2010.10.18 Backdoor.Win32.PcClient
Jiangmin 13.0.900 2010.10.17 Trojan/PSW.OnLineGames.bjzq
K7AntiVirus 9.66.2760 2010.10.15 -
Kaspersky 7.0.0.125 2010.10.17 -
McAfee 5.400.0.1158 2010.10.18 Suspect-BL!744A5A6DB0A1
McAfee-GW-Edition 2010.1C 2010.10.17 Heuristic.LooksLike.Win32.Suspicious.F
Microsoft 1.6201 2010.10.17 -
NOD32 5540 2010.10.17 -
Norman 6.06.07 2010.10.17 W32/Packed_Upack.A
nProtect 2010-10-17.01 2010.10.17 -
Panda 10.0.2.7 2010.10.17 Generic Trojan
PCTools 7.0.3.5 2010.10.18 -
Prevx 3.0 2010.10.18 -
Rising 22.69.04.03 2010.10.15 -
Sophos 4.58.0 2010.10.17 Sus/ComPack-C
Sunbelt 7083 2010.10.18 Trojan.Win32.Packer.Upack0.3.9 (ep)
SUPERAntiSpyware 4.40.0.1006 2010.10.17 -
Symantec 20101.2.0.161 2010.10.18 -
TheHacker 6.7.0.1.059 2010.10.17 W32/Behav-Heuristic-060
TrendMicro 9.120.0.1004 2010.10.17 Cryp_Xed-12
TrendMicro-HouseCall 9.120.0.1004 2010.10.18 Cryp_Xed-12
VBA32 3.12.14.1 2010.10.15 -
ViRobot 2010.9.25.4060 2010.10.17 -
VirusBuster 12.69.3.4 2010.10.17 Packed/Upack
Additional information
Show all
MD5 : 744a5a6db0a172f5214132adf4c50210
SHA1 : 535f339bc8641aecc558358f16df1241d9132ef4
SHA256: ffa325a38bcc4895c130e96605724c08b7da69497d06ac5689c03bcf39e506ff
掃毒真的算是手工業...:eye:
可以先使用EF2010083003.EXE 至此 可以解決90%的問題
再REGEDIT
& CMD >>dir/w/p/a >>attrib -r -h -s XXX.XXX del XXX.XXX ...:mummy:
然後 檢查網路正不正常 .IE 是否正常 ...
然後 少檔案 補檔案....
.
.
.
.
然後 檢查系統正不正常 會不會動一動就當機...
.
.
.
假如 不太重要的系統 重灌比較快 :king:
spplkk2003 2010-10-19, 01:36 AM 這個病毒非常之機車,我用EFIX依然無效,且補充一下,在C:\RECYLER資料夾一直跑三個程式FLS-3.EXE,FLS-7.EXE,FLS-9.EXE。而且平常看不到垃圾桶資料夾~
目前正在努力中...................@@
病毒行為過於複雜, 放棄急救, 砍掉重練, 這是替tvirus 兄說的...
tvirus 2010-10-19, 03:57 AM 病毒行為過於複雜, 放棄急救, 砍掉重練, 這是替tvirus 兄說的...
真過份,搶我台詞 Orz
一般木馬病毒一類的,在你儲存裝置上的是傳播用"衍生物"
不是"本體"
要學會找到本體,這個都要靠經驗 :|||:
本體不除,你就只能一直砍了又砍,砍了又砍,砍了又砍,砍了又砍,砍了又砍...
試著用Prcview去記錄,從一開機到可操作桌面之前的所有執行過的程式吧?
這個病毒非常之機車,我用EFIX依然無效,且補充一下,在C:\RECYLER資料夾一直跑三個程式FLS-3.EXE,FLS-7.EXE,FLS-9.EXE。而且平常看不到垃圾桶資料夾~
目前正在努力中...................@@
目前再怎麼強悍的WIN病毒.也沒辦法在其他系統下作怪 命令提示模式DOS ??XPPE ?
清病毒是很費時間很費心力的工作 REINSTALL ??
REINSTALL ??
還是砍掉重練??
小弟資質駑鈍, 請問諸位前輩高手, 苦主所提示的連結是如何把病毒行為分析得如此清清楚楚? 印象中似乎有專用工具, 其實小弟也想過這個問題, 若是利用Windows PE, 加上Process Monitor, File Monitor 和Registry Monitor 等工具, 以便分析病毒執行後所建立的檔案和修改的鍵值, 這樣可行嗎? 不用VM 的原因是擔心被Windows 本身的正常檔案存取所干擾, 增加分析的困難度, 手工業愈來愈沒落了, 應該好好保存這個行業
小弟藉由病毒作者自作聰明的傻瓜自救法, 請另外手動修改註冊的檔案類型和遺留在登錄檔裡面的垃圾, 後者可由Sysinternals Autoruns 找出, 以下僅供參考
由於病毒阻止KAV7 更新病毒碼, 並且影響Explorer.exe, 小弟於是將中毒硬碟移到其他電腦掃描, 但小弟是以指令加肉眼判斷:
dir d:\ /p /s /arsh
不過, 小弟建議多嘗試其他指令組合, 以免掛一漏萬
dir d:\ /p /s /as
dir d:\ /p /s /ah
小弟研判病毒應該會藏匿於每個磁碟分割的根目錄, %SystemRoot% 和%SystemRoot%\system32, 坦白說, 原先的目標只是100K~110K 之間的檔案, 若不是病毒作者自作聰明, 將檔案屬性改成唯讀加系統加隱藏, 否則小弟還真不可能發現system32 之下的上千個動態連結檔之中竟然藏有病毒, 應該是執行檔假借動態連結檔副檔名, 有興趣者可掃描附件看看, KAV7 & AntiVir Premium 可成功辨識
此外, 小弟建議直接清除目標磁碟機的%Temp% 資料夾, 重新啟動之後, 立刻清除Temporary Internet files 和資源回收筒, 更新病毒碼, 再回到安全模式徹底掃描一遍
noeleon930 2010-10-19, 07:37 PM 小弟藉由病毒作者自作聰明的傻瓜自救法, 請另外手動修改註冊的檔案類型和遺留在登錄檔裡面的垃圾, 後者可由Sysinternals Autoruns 找出, 以下僅供參考
假如是我,會用Linux開機來干涉這些檔案,保證有效。
|