藏在 MBR的病毒





pavo
2011-07-06, 05:33 PM
昨晚收回一台電腦 中毒 .... 對 就是中毒 應該是很軟的工作

但是很不幸的 這病毒似乎了解台灣針對病毒處理的普通對策

會在C槽建立 無法一般刪除的檔案匣 名稱就是針對 EFIX自解壓縮後的名稱 造成EFIX解壓縮失敗

鎖定 REGEDIT

進程中有 ping.exe、svchost、vbscript、pps 其中PPS.exe是藏在 C:\windows\

進程相互監視 互補啟動....

一開始拆硬碟 用別台電腦掃毒 AVAST+AVAIR

掃完後REG清除

使用EFIX清除一般常見瑣事

此時發現 病毒行程依然出現. :boldred:

再開 XPPE 進 windows 尋找非常態程式 找到一些 .BAT .....內含一些登入傳送資料語法>> 刪除

用進程ID 問GOOGLE大神 ...2篇:eye: 而且還無關緊要:|||:

再依序把掃毒程序作一遍 ....後來想到這台電腦"安全模式無法進入" 一直閃燈

再加上該硬碟用 NORTON2011+AVAST+AVIRA+DRWEB ...:mad: 掃過再加上人工尋找奇怪檔案 都沒辦法清除.可見還有其他地方存放病毒導引主體

啟動 SPFDISK 重建MBR 一試之下. 才知道這是正確的方向

病毒主體樣本? 該電腦時間緊迫 抱歉沒有留

版友假如有遇到這種病毒 可以參照一下




rushoun
2011-07-06, 06:19 PM
這病毒會產生什麼後遺症?
開後門?
損毀系統或是檔案?
還是.....
看起來....又有高杆的病毒了。

pavo
2011-07-06, 08:00 PM
這病毒會產生什麼後遺症?
開後門?
損毀系統或是檔案?
還是.....
看起來....又有高杆的病毒了。

應該是開後門外加盜帳號病毒.

其中調用 ping.exe 進行促進網路連結

再調用 ATTRIB 將 USB碟的檔案匣 +r +s +h 後製作偽裝病毒檔

我記得會 windowsNT 的 WINLOGON USERINIT.EXE fhoxy.exe

其中 FHOXY.EXE 關鍵字 GOOGLE 沒有任何資料.或許是隨機生成

而在 %windir%/system32/dhcp 裡面則有 SVCHOST.DLL 150KB大小 則是一直生成

這病毒還好我沒有採取重灌 .不然肯定是白忙一場:abuse:

pentacle
2011-11-03, 04:45 PM
應該是開後門外加盜帳號病毒.

其中調用 ping.exe 進行促進網路連結

再調用 ATTRIB 將 USB碟的檔案匣 +r +s +h 後製作偽裝病毒檔

我記得會 windowsNT 的 WINLOGON USERINIT.EXE fhoxy.exe

其中 FHOXY.EXE 關鍵字 GOOGLE 沒有任何資料.或許是隨機生成

而在 %windir%/system32/dhcp 裡面則有 SVCHOST.DLL 150KB大小 則是一直生成

這病毒還好我沒有採取重灌 .不然肯定是白忙一場:abuse:

除MBR病毒存在(内地主要流行鬼影系列、欧美流行TDL系列)
还有BIOS病毒,除非刷BIOS,否则换硬碟也没用。