广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 8866 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[问题讨论] 最近碰上了两支病毒,颇为难缠,全找到了...不过还真贱@@

病毒名称?不知道。从哪来的,应该是网路!

第一支,主要症状:会自动透过特定的DNS Server连线上特定网站,且在执行中会自动封锁首页、防毒程式、防火墙等。

追踪:系统档案(windows\system32\wininet.dll)遭到窜改,DNS被手动指定到 85.255.116.131 and 85.255.112.165

解毒:手动清除不应该存在的执行序程式,并使用ERD Commander光碟开机,将正确的档案Copy回System32中。手动修改Reg内不应存在或被修改的机码,却发现,在[HLKM\Software\Microsoft\Windows\Run、RunOnce、RunService]等,都有不应存在的程式及子机码,手动移除后,重新开机。OK。

第二支,主要症状:开机依段时间后,会自动呼叫IE并连线到不知名的网站。

追踪:系统中没有其他不应存在的程式,也没有未知的注册DLL档。

解毒:使用ProcessExploreNt找出躲藏的DLL并删除他...


[ 此文章被lens690在2006-10-25 11:33重新编辑 ]


此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 提供两只木马症状及解决方案 值得鼓励




确保电脑安全,勿点选不明档案或网址
献花 x1 回到顶端 [楼 主] From:局域网对方和您在同一内部网 | Posted:2006-10-24 20:23 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

现在的病毒与木马 都会窜改原系统档
例小弟刚好有个 rundll32.exe 档案
位置在于 c:\windows\system32
也是被木马侵入 会一直跑出大陆的网站
若将其隔离或删除 会造成系统错误
若还原回去系统就正常 但该网页仍会出现
卡巴一直会侦测到 但是却无法解毒
其他扫木马程式 也无法解除


爸爸 你一路好走
献花 x0 回到顶端 [1 楼] From:台湾 | Posted:2006-10-24 21:05 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

发现,最近蛮常在用Windows PE + ERD Commander的..因为...一堆死木马,整天搞我的User...去~



确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [2 楼] From:台湾中华电信 | Posted:2006-10-24 21:10 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

已经到了使用 winpe 的问题 那大概就是系统已经完全损毁连安全模式都进不去了
其实小弟正在研究一键还原系统的功能 此软体不是os 还原
而只是 os 的系统档及登录档的标准备份档 还原
其实研究过这么多的 病毒与木马 虽然发作的状况不一定
但是会攻击的系统档与登录档 都是大同小异
而造成 首页被绑架或跳出广告网页 甚至系统损毁
都有一个模式可供寻找

但是新版的作业系统 即将又面市 好不容易做出来的软体 可能很快就无法再使用
不过其实原理相同 最近在玩 vista 除了画面较漂亮之外 其他无太大改变


[ 此文章被upside在2006-10-24 21:29重新编辑 ]


爸爸 你一路好走
献花 x0 回到顶端 [3 楼] From:台湾 | Posted:2006-10-24 21:20 |
tonyhsu010
数位造型
个人文章 个人相簿 个人日记 个人地图
路人甲
级别: 路人甲 该用户目前不上站
推文 x0 鲜花 x5
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

病毒这一块实在是让人很头痛 表情
各种病毒无所不在..天阿怎会有这些病毒唷
对解毒还是蒙懂...需要大家一起专研..切磋 表情


献花 x0 回到顶端 [4 楼] From:台湾台湾索尼 | Posted:2006-10-26 06:35 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

图 1.



关于 那只会跳出大陆网站的木马
使用多套扫木马与卡巴 都无法清除
最后是使用 最新版 超级魔法兔子 7.85版
就已经解决掉了 果然大陆的木马 还是需要使用大陆方面的软体
才能解决


爸爸 你一路好走
献花 x0 回到顶端 [5 楼] From:台湾 和信超媒体宽带网 | Posted:2006-10-26 09:57 |
flyjun
数位造型
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x29
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

最近的流氓软件太多了.真是烦.老是绑到RUNDLL32.DDL或IE上.实在是防不胜防呀. 表情


献花 x0 回到顶端 [6 楼] From:广东省 | Posted:2006-10-26 20:08 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

单一的防毒并不能解决问题~
所以整合型安全资讯方案将是未来的高比重~
也许这样可以提早弄出人工智慧....



回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x0 回到顶端 [7 楼] From:台湾中华电信 | Posted:2006-10-28 01:41 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用omniplay于2006-10-28 01:41发表的 :
单一的防毒并不能解决问题~
所以整合型安全资讯方案将是未来的高比重~
也许这样可以提早弄出人工智慧....
很不错的构想 不过目前以现在的技术还尚未达到人工智慧的境界
而且相对的此程式必须消耗相当大的资源去做运算 或许以目前的超级电脑还有可能


爸爸 你一路好走
献花 x0 回到顶端 [8 楼] From:台湾 和信超媒体宽带网 | Posted:2006-10-28 02:03 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053679 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言