藏在 MBR的病毒

[pavo]

昨晚收回一台電腦 中毒 .... 對 就是中毒 應該是很軟的工作

但是很不幸的 這病毒似乎了解台灣針對病毒處理的普通對策

會在C槽建立 無法一般刪除的檔案匣 名稱就是針對 EFIX自解壓縮後的名稱 造成EFIX解壓縮失敗

鎖定 REGEDIT

進程中有 ping.exe、svchost、vbscript、pps 其中PPS.exe是藏在 C:\windows\

進程相互監視 互補啟動....

一開始拆硬碟 用別台電腦掃毒 AVAST+AVAIR

掃完後REG清除

使用EFIX清除一般常見瑣事

此時發現 病毒行程依然出現.

再開 XPPE 進 windows 尋找非常態程式 找到一些 .BAT .....內含一些登入傳送資料語法>> 刪除

用進程ID 問GOOGLE大神 ...2篇 而且還無關緊要

再依序把掃毒程序作一遍 ....後來想到這台電腦"安全模式無法進入" 一直閃燈

再加上該硬碟用 NORTON2011+AVAST+AVIRA+DRWEB ... 掃過再加上人工尋找奇怪檔案 都沒辦法清除.可見還有其他地方存放病毒導引主體

啟動 SPFDISK 重建MBR 一試之下. 才知道這是正確的方向

病毒主體樣本? 該電腦時間緊迫 抱歉沒有留

版友假如有遇到這種病毒 可以參照一下

[rushoun]

這病毒會產生什麼後遺症?
開後門?
損毀系統或是檔案?
還是.....
看起來....又有高杆的病毒了。

[pavo]

引用:

作者: rushoun

這病毒會產生什麼後遺症?
開後門?
損毀系統或是檔案?
還是.....
看起來....又有高杆的病毒了。

應該是開後門外加盜帳號病毒.

其中調用 ping.exe 進行促進網路連結

再調用 ATTRIB 將 USB碟的檔案匣 +r +s +h 後製作偽裝病毒檔

我記得會 windowsNT 的 WINLOGON USERINIT.EXE fhoxy.exe

其中 FHOXY.EXE 關鍵字 GOOGLE 沒有任何資料.或許是隨機生成

而在 %windir%/system32/dhcp 裡面則有 SVCHOST.DLL 150KB大小 則是一直生成

這病毒還好我沒有採取重灌 .不然肯定是白忙一場

[pentacle]

引用:

作者: pavo

應該是開後門外加盜帳號病毒.

其中調用 ping.exe 進行促進網路連結

再調用 ATTRIB 將 USB碟的檔案匣 +r +s +h 後製作偽裝病毒檔

我記得會 windowsNT 的 WINLOGON USERINIT.EXE fhoxy.exe

其中 FHOXY.EXE 關鍵字 GOOGLE 沒有任何資料.或許是隨機生成

而在 %windir%/system32/dhcp 裡面則有 SVCHOST.DLL 150KB大小 則是一直生成

這病毒還好我沒有採取重灌 .不然肯定是白忙一場

除MBR病毒存在（内地主要流行鬼影系列、欧美流行TDL系列）
还有BIOS病毒，除非刷BIOS，否则换硬碟也没用。