 |
由於病毒阻止KAV7 更新病毒碼, 並且影響Explorer.exe, 小弟於是將中毒硬碟移到其他電腦掃描, 但小弟是以指令加肉眼判斷:
不過, 小弟建議多嘗試其他指令組合, 以免掛一漏萬語法:dir d:\ /p /s /arsh
小弟研判病毒應該會藏匿於每個磁碟分割的根目錄, %SystemRoot% 和%SystemRoot%\system32, 坦白說, 原先的目標只是100K~110K 之間的檔案, 若不是病毒作者自作聰明, 將檔案屬性改成唯讀加系統加隱藏, 否則小弟還真不可能發現system32 之下的上千個動態連結檔之中竟然藏有病毒, 應該是執行檔假借動態連結檔副檔名, 有興趣者可掃描附件看看, KAV7 & AntiVir Premium 可成功辨識語法:dir d:\ /p /s /as dir d:\ /p /s /ah
此外, 小弟建議直接清除目標磁碟機的%Temp% 資料夾, 重新啟動之後, 立刻清除Temporary Internet files 和資源回收筒, 更新病毒碼, 再回到安全模式徹底掃描一遍
此文章於 2009-05-14 01:17 PM 被 FYI 編輯。
MD5: CA8750E643C25C104CD2C6BA4CA4E900作者:FYI
Not a Effective PE File, one section will overlay the next section.
包内的文件有问题..
怪~這隻會生出一隻cc.exe,怎麼threatexpert沒偵測到?
請勿用續傳軟體, PCZONE 空間常有的事, 所以壓縮打包, 解壓就會察覺文件是否正確
你的压缩包没有问题
但是你提取的文件有问题
或许,这个Trj在做免杀的时候就没有做好
由於大毒窟在別人家, 所以小弟得預先想好方法幫對方掃毒, 首先得設法進入安全模式, 由於啟動Windows 之前按 F8 的時機不好抓, 又有可能觸發BIOS 啟動選單, 所以先以TeamViewer 遠端遙控修改boot.ini:
控制台->系統->進階->啟動及修復->設定->系統啟動->編輯複製最後一行並修改 (不太重要, 僅供參考):
multi(0)disk(0)rdisk(0)partition(1)\windows="Windows XP Safe Mode" /noexecute=optin /fastdetect /noguiboot /safeboot:minimal刪除暫存資料夾:
前面介紹過尋找病毒的特徵 - 唯獨系統隱藏, 首先檢查系統碟:語法:del /F /S /Q %Temp%
如果找到可疑檔案, 就先紀錄起來, 等進入安全模式再重新命名或刪除, 然後安裝免費的卡巴病毒查殺工具AVPTool:語法:dir /p /s /arsh %SystemDrive%\
Boot INI Options Reference - Microsoft TechNet
幫他找bootsafe給他進入安全模式,然後安裝江民試用版開啟系統診斷就能找出隱藏文件了~
閒逛kavo_killer, EFix, Combofix 網站時, 突然想到一個問題, 由於三月以後出了幾個副檔名為DLL 的病毒, 而小弟的人工掃描法無法研判病毒是否真正動態連結檔? 或者是否已經註冊至動態連結程式庫服務? 因此此法只能算是暫時之計, 如果將來病毒和系統結合得更根深蒂固, 那麼是否還能在安全模式之下將病毒直接刪除? 是否會導致系統崩潰? 小弟不得而知, 不過小弟倒是知道對於應付一些exe, cmd 等類型的病毒, 除非已經躲進系統還原資料夾, 否則此法還是非常簡單好用, 而且非常迅速
Kaspersky Virus Removal Tool Download
有個小小疑問, 小弟把附件上傳到VirusTotal, 結果回報已經分析過, 就是#1 的a.ex, #2 有報告, 然而此回Kaspersky 7.0.0.125 卻並未發現
發表文章規則
| XML | RSS 2.0 | RSS |
本討論區所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email:[email protected] 處理。
回覆時引用此文章
書籤