|
引用 | 編輯
lens690
2006-10-24 20:23 |
樓主
▼ |
||
x0
第一支,主要症狀:會自動透過特定的DNS Server連線上特定網站,且在執行中會自動封鎖首頁、防毒程式、防火牆等。 追蹤:系統檔案(windows\system32\wininet.dll)遭到竄改,DNS被手動指定到 85.255.116.131 and 85.255.112.165 解毒:手動清除不應該存在的執行序程式,並使用ERD Commander光碟開機,將正確的檔案Copy回System32中。手動修改Reg內不應存在或被修改的機碼,卻發現,在[HLKM\Software\Microsoft\Windows\Run、RunOnce、RunService]等,都有不應存在的程式及子機碼,手動移除後,重新開機。OK。 第二支,主要症狀:開機依段時間後,會自動呼叫IE並連線到不知名的網站。 追蹤:系統中沒有其他不應存在的程式,也沒有未知的註冊DLL檔。 解毒:使用ProcessExploreNt找出躲藏的DLL並刪除他...  x1
|
|||
|
引用 | 編輯
upside
2006-10-24 21:05 |
1樓
▲ ▼ |
|
現在的病毒與木馬 都會竄改原系統檔
例小弟剛好有個 rundll32.exe 檔案 位置在於 c:\windows\system32 也是被木馬侵入 會一直跑出大陸的網站 若將其隔離或刪除 會造成系統錯誤 若還原回去系統就正常 但該網頁仍會出現 卡巴一直會偵測到 但是卻無法解毒 其他掃木馬程式 也無法解除 x0
|
|
|
引用 | 編輯
lens690
2006-10-24 21:10 |
2樓
▲ ▼ |
|
發現,最近蠻常在用Windows PE + ERD Commander的..因為...一堆死木馬,整天搞我的User...去~
x0
|
|
|
引用 | 編輯
upside
2006-10-24 21:20 |
3樓
▲ ▼ |
|
已經到了使用 winpe 的問題 那大概就是系統已經完全損毀連安全模式都進不去了
其實小弟正在研究一鍵還原系統的功能 此軟體不是os 還原 而只是 os 的系統檔及登錄檔的標準備份檔 還原 其實研究過這麼多的 病毒與木馬 雖然發作的狀況不一定 但是會攻擊的系統檔與登錄檔 都是大同小異 而造成 首頁被綁架或跳出廣告網頁 甚至系統損毀 都有一個模式可供尋找 但是新版的作業系統 即將又面市 好不容易做出來的軟體 可能很快就無法再使用 不過其實原理相同 最近在玩 vista 除了畫面較漂亮之外 其他無太大改變 x0
|
|
|
引用 | 編輯
tonyhsu010
2006-10-26 06:35 |
4樓
▲ ▼ |
|
病毒這一塊實在是讓人很頭痛
 各種病毒無所不在..天阿怎會有這些病毒唷 對解毒還是矇懂...需要大家一起專研..切磋  x0
|
|
