-
藏在 MBR的病毒
昨晚收回一台電腦 中毒 .... 對 就是中毒 應該是很軟的工作
但是很不幸的 這病毒似乎了解台灣針對病毒處理的普通對策
會在C槽建立 無法一般刪除的檔案匣 名稱就是針對 EFIX自解壓縮後的名稱 造成EFIX解壓縮失敗
鎖定 REGEDIT
進程中有 ping.exe、svchost、vbscript、pps 其中PPS.exe是藏在 C:\windows\
進程相互監視 互補啟動....
一開始拆硬碟 用別台電腦掃毒 AVAST+AVAIR
掃完後REG清除
使用EFIX清除一般常見瑣事
此時發現 病毒行程依然出現. :boldred:
再開 XPPE 進 windows 尋找非常態程式 找到一些 .BAT .....內含一些登入傳送資料語法>> 刪除
用進程ID 問GOOGLE大神 ...2篇:eye: 而且還無關緊要:|||:
再依序把掃毒程序作一遍 ....後來想到這台電腦"安全模式無法進入" 一直閃燈
再加上該硬碟用 NORTON2011+AVAST+AVIRA+DRWEB ...:mad: 掃過再加上人工尋找奇怪檔案 都沒辦法清除.可見還有其他地方存放病毒導引主體
啟動 SPFDISK 重建MBR 一試之下. 才知道這是正確的方向
病毒主體樣本? 該電腦時間緊迫 抱歉沒有留
版友假如有遇到這種病毒 可以參照一下
-
回覆: 藏在 MBR的病毒
這病毒會產生什麼後遺症?
開後門?
損毀系統或是檔案?
還是.....
看起來....又有高杆的病毒了。
-
回覆: 藏在 MBR的病毒
[QUOTE=rushoun;1108377]這病毒會產生什麼後遺症?
開後門?
損毀系統或是檔案?
還是.....
看起來....又有高杆的病毒了。[/QUOTE]
應該是開後門外加盜帳號病毒.
其中調用 ping.exe 進行促進網路連結
再調用 ATTRIB 將 USB碟的檔案匣 +r +s +h 後製作偽裝病毒檔
我記得會 windowsNT 的 WINLOGON USERINIT.EXE fhoxy.exe
其中 FHOXY.EXE 關鍵字 GOOGLE 沒有任何資料.或許是隨機生成
而在 %windir%/system32/dhcp 裡面則有 SVCHOST.DLL 150KB大小 則是一直生成
這病毒還好我沒有採取重灌 .不然肯定是白忙一場:abuse:
-
回覆: 藏在 MBR的病毒
[QUOTE=pavo;1108384]應該是開後門外加盜帳號病毒.
其中調用 ping.exe 進行促進網路連結
再調用 ATTRIB 將 USB碟的檔案匣 +r +s +h 後製作偽裝病毒檔
我記得會 windowsNT 的 WINLOGON USERINIT.EXE fhoxy.exe
其中 FHOXY.EXE 關鍵字 GOOGLE 沒有任何資料.或許是隨機生成
而在 %windir%/system32/dhcp 裡面則有 SVCHOST.DLL 150KB大小 則是一直生成
這病毒還好我沒有採取重灌 .不然肯定是白忙一場:abuse:[/QUOTE]
除MBR病毒存在(内地主要流行鬼影系列、欧美流行TDL系列)
还有BIOS病毒,除非刷BIOS,否则换硬碟也没用。