【問題】請問這是中了木馬嗎？該如何搶救？ [Site Map] - 第 2 頁

PDA

【問題】請問這是中了木馬嗎？該如何搶救？

贊助商連結

頁 : 1 [2]

yuhsheng

2006-12-10, 10:28 PM

不要太相信防毒程式,有針對性、特製,而未在Internet流傳的木馬,沒有一種防毒程式抓得到.
這種東西,真的還不少.

贊助商連結

不潔之力

2006-12-11, 12:40 AM

ta788923

2006-12-12, 09:12 AM

msjdbc11.dll C:\WINNT\system32\
RAVMOND.exe C:\WINNT\system32\
MSSIGN30.DLL C:\WINNT\system32\
install.RAR D:\
letter.RAR D:\
setup.RAR D:\
bak.ZIP D:\
病毒類型：W32.Lovgate.R@mm

這個是前陣子處理過的病毒~已確定中毒的源頭是來路不明的mail~

特徵: 開機後會一直跑出有一個程式用你的名義寄出訊息~
有用out look的話~不小心點下去就把自己mail裡面的東西寄出了~
同時c槽或d槽可能會沒辦法直接打開~要用右鍵開啟~
沒掃乾淨的話~一點到槽區就會啟動autorun.inf~然後病毒就又回來了~
此病毒當防毒檔不住時~感染電腦內其它檔案的能力也很高~同時也會攻擊區網內有開共享的資料夾~

不知您的電腦有沒有上述的檔案~因為症狀有點像~所以把我遇到的提出來~

可以請您分享解毒過程嘛！？

之前沒幫人解成功～～最後還重灌說～～

chiener

2006-12-12, 10:50 AM

msjdbc11.dll C:\WINNT\system32\
RAVMOND.exe C:\WINNT\system32\
MSSIGN30.DLL C:\WINNT\system32\
install.RAR D:\
letter.RAR D:\
setup.RAR D:\
bak.ZIP D:\
病毒類型：W32.Lovgate.R@mm

這個是前陣子處理過的病毒~已確定中毒的源頭是來路不明的mail~

特徵: 開機後會一直跑出有一個程式用你的名義寄出訊息~
有用out look的話~不小心點下去就把自己mail裡面的東西寄出了~
同時c槽或d槽可能會沒辦法直接打開~要用右鍵開啟~
沒掃乾淨的話~一點到槽區就會啟動autorun.inf~然後病毒就又回來了~
此病毒當防毒檔不住時~感染電腦內其它檔案的能力也很高~同時也會攻擊區網內有開共享的資料夾~

不知您的電腦有沒有上述的檔案~因為症狀有點像~所以把我遇到的提出來~

不知是否在一連串的殺毒中被清掉了(很多當時沒記下來)，現在硬碟上找不到這些檔案名稱。
從圖的右下角一串寄出信件等待掃瞄可見是有某一支程式在發信，但裝了ZoneAlarm之後也沒抓到有對外發信的動作，可能這支程式是受外面某程式控制，裡應外合的工作，現在中間被擋了它也沒動作了，硬碟中幾十萬支程式要如何知道它是誰？躲在那裡？

不潔之力

2006-12-12, 01:03 PM

我po上來的檔名跟位置是比較確定有在運作的~
其他還有很多被感染的檔案我沒po~
因為這隻毒會闊散~並攻擊區網內有共享的資料夾~
所以我是拔硬碟讓別台電腦掃毒~
pcc2004跟諾頓9.0企業板都能解~但卡巴5.0是完全沒用~

1.txt請改成1.csv會比較方便看~

在我po的檔名~位在system32裡的是被執行的病毒檔~
d槽根目錄的是陷阱~如果當c槽的被解掉~
我們在點入d槽時會啟動autorun.ini然後執行setup.rar~
於是又重新中毒了~

ta788923

2006-12-13, 10:33 AM

也就是說～～

1.解毒順序是要先殺掉 D：\ 底下的病毒檔，才不會重複感染！？

2.拔HDD給別的PC解毒也是個解決好方案！！！

又多了個殺毒秘訣了說！！！

不潔之力

2006-12-13, 12:42 PM

也就是說～～要先殺掉 D：\ 底下的病毒檔，才不會重複感染！？

又多了個殺毒秘訣了說！！！

正常根目錄下不會有autorun.ini這東西~
這是光碟片才會有的~而且是隱藏屬性~
然而我們在點槽區時都是直接點開~
所以常常會啟動病毒放的autorun.ini~
於是執行了旁邊的病毒安裝檔~
所有的動作等於白作~

因此最近在手動解毒時我都會加上刪除分割區裡的autorun.ini~
以防萬一~

至於你說要先殺~是不用~但記得要在觸發前刪掉~