Re: [方案] 這兩天的倒數60秒

作者junorn (威廉華勒斯)

看板AntiVirus

標題Re: [方案] 這兩天的倒數60秒

時間Sun Sep 28 23:05:49 2008

整個資訊大概整理一下，因為有部分不太正確 ( 我前面發的有一點不正確 0rz ) 正確的清除步驟大致如下： 1.懶的手動或不知道怎麼手動那就下載置底閃光文 EFix 4.84 版執行後重開機看有沒有好轉 ( 執行中途會重開機，因為有部分檔案要重開機後才能刪 ) 2.覺得EFix問題太多寫太爛不想執行的人 a.先開啟工作管理員將spoolsv.exe和使用者名稱那一欄名稱是自己登錄名稱的 svchost.exe關閉 b.將windows\system32\spoolsv.exe刪除 (只要這個spoolsv.exe就可以其他不用) b2.找正常的檔案補回去，正常檔案請爬前面的文. c.將windows\system32\sprint.dll刪除 d.將windows\system32\dots.exe刪除 ( 不一定有 ) 或者是windows\system32\dots1.exe e.重開機然後測試看看有沒有好轉 3.覺得手動不會或很懶又覺得EFix問題太多寫太爛不想執行的人 ........去找好人或花錢處理吧。 ------------------------------------------------ 但由於目前只知道種入系統的檔案造成的影響而並不知道入侵系統的手法，所以是否還會在有不清楚 ( 系統已乾淨但又被入侵 ) 自己多注意就是。 -- 人間世稱做緣相連的紅線不停纏繞脆弱而惹人悲憐的彼岸花憤怒、傷感、終日以淚洗面在凌晨零時的夜幕中為你消除無法平息的怨恨 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (09/28 23:08) ※ 編輯: junorn 來自: 220.132.171.86 (09/28 23:08)

推 xiaoyao:辛苦了 09/28 23:12

推 jocky:辛苦了大好人 09/28 23:33

推 memory2007:傳說中的好人就決定是你了~ 09/28 23:39

推 miamodo:辛苦了 09/28 23:41

推 sangogo:辛苦了好人卡獻上xd 09/28 23:44

推 desultor:辛苦了~~ 09/28 23:45

推 dlevel:多謝。 09/28 23:49

※ 編輯: junorn 來自: 220.132.171.86 (09/28 23:58)

推 scotttomlee:辛苦了~~感謝板大~ 09/29 00:26

推 DarkFog:( ′▽`)-o█ 09/29 00:36

推 ccmlgd:版大的 EFIX 超好用的~我用它幫一堆人解KXVO哩..版大是好人 09/29 00:37

推 pao1985:請問文章內容可以借轉於其他網站嗎? 我會標明作者的 09/29 03:20

推 idaer:板大辛苦了:) 09/29 07:41

推 tamato9519:有你真好~~ ( ′▽`)-o因囡囝囚 09/29 07:52

→ junorn:有需要就轉 09/29 08:49

推 jyhfang:造福人群! 09/29 09:21

推 raphael0612:近有很多這種殖入替代型木馬,應該還有Rootskit部份 09/29 10:56

→ junorn:應該有，但目前沒辦法取得入侵的手法也無從得知。 09/29 10:58

推 vfhwsnhoks:感謝 09/29 11:34

推 xpowerk:辛苦了~ 09/29 11:35

推 kenny1300175:覆蓋了版大的正確檔後 2.3天後又出現倒數60秒關機 09/29 13:03

→ kenny1300175:而且spoolv.exe也變成數位簽章沒過= = 09/29 13:04

→ kenny1300175:剛剛用了EFIX跑過一遍後數位簽章又過了目前持續觀察 09/29 13:05

→ kenny1300175:害我現在都怕怕的= = 這病毒太機車了!! 09/29 13:05

→ kenny1300175:多謝板大提供的方法不然真的挫勒旦!! 09/29 13:08

→ f22f35f117b2:請問這是覆蓋檔案後的結果嗎？ 09/29 13:08

→ f22f35f117b2:因為18002J大的回應中好像要覆蓋 09/29 13:10

推 kenny1300175:回f大的確要覆蓋但是我是覆蓋後又跳回去之前的樣子 09/29 13:22

→ kenny1300175:所以才用EFIX徹底掃過一遍 09/29 13:23

推 miamodo:http://0rz.tw/a44Oc prevx.com的分析 09/29 13:45

推 miamodo:再一個,http://0rz.tw/944TA ThreatExpert.com 09/29 14:07

→ junorn:嗯？為何要建立系統紀錄和系統還原相關登錄值？ 09/29 14:35

推 miamodo:j大,我很菜,不瞭解為何?不想亂猜..... 09/29 14:58

推 hali0918:推，太厲害了~ 09/29 16:21

推 idaer:http://tinyurl.com/4nscsa ThreatExpert.com 09/29 17:20

→ idaer:http://tinyurl.com/3rq566 prevx.com 不過TE的報告裡面沒有 09/29 17:21

→ idaer:註明關於Cookies跟History所屬的登錄值被修改到LocalService 09/29 17:22

→ aamon:前兩天都沒跳出來, 剛剛又跳出來了, 該怎麼辦才好 = =" 09/30 06:47

推 kyhkyh:問一下,我把spoolv.exe刪掉後換新的,結果出現Windows檔案保 09/30 09:08

→ kyhkyh:護這個視窗,這個按取消會有影響嗎? 09/30 09:10

→ junorn:to aamon 下載置底的Efix跑完之後將掃描報告貼上來 09/30 09:34

※ 編輯: junorn 來自: 210.68.130.155 (09/30 09:43)