Re: [求救] 一疑似利用隨身碟傳染的木馬程式

作者junorn (威廉華勒斯)

看板AntiVirus

標題Re: [求救] 一疑似利用隨身碟傳染的木馬程式

時間Mon Nov 16 21:13:27 2009

屬性就算了不管他，想回復大概也沒辦法複製底下 **號之間的文字不包含**號 ** MOVE FILE:: C:\WINDOWS.exe C:\Windows\msbackup.exe C:\Windows\system\csrss.exe C:\Windows\system\ieremove.exe C:\Windows\system\csrss32.exe C:\Windows\calcs.exe C:\Windows\sndvols.exe CP FILE:: C:\Windows\system32\calc32.exe|c:\windows\system32\calc.exe C:\Windows\system32\sndvol.exe|c:\windows\system32\sndvol32.exe ** 之後執行EFIX 執行到SCRIPT GUI視窗的時候按自訂腳本按了之後在中央空白處按右鍵選貼上確認貼上內容無誤之後按下確定，之後再按開始之後一樣等他跑完. 跑完之後一樣貼報告上來. -- 長路如淡夢無盡空嘆息月光照亮我心房野花輕搖指前路過失之痛滿胸中抬手長自撫願能將其拂欲言又止萬千語化作葉兒染愛色 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.12.217

推 rambo2728:囧...系統屬性拳亂聽起來似乎也沒好多少O_Q 11/16 21:50

→ rambo2728:J大這是剛剛掃描結果http://0rz.tw/NE8er 11/16 21:51

推 rambo2728:對了 J大晚上剛剛我有用個很笨的方法搜尋這台電腦裡 11/16 21:57

→ rambo2728:的*.exe檔案但在眾多檔案裡頭卻只有發現WINDOWS.exe而 11/16 21:58

→ rambo2728:沒發現其他之前像是msbackup.exe此類的偽裝檔 11/16 21:59

→ rambo2728:我也不知道這樣做是不是做白工就是^^" 11/16 21:59

→ junorn:看起來是沒甚麼要清的了，將c:\windows\system32\calc.exe 11/16 22:02

→ junorn:刪除一次之後再觀察看看有沒有好轉吧. 11/16 22:02

→ junorn:他這木馬群主要都是靠被修改的calc.exe和sndvol32.exe啟動 11/16 22:03

→ junorn:所以這兩個檔一定要替換回正常檔案. 11/16 22:03

推 rambo2728:J大不過目前有個很大的問題就是檔案刪不掉... 11/16 22:25

→ rambo2728:我也有進入安全模式試圖刪除但總會出現您需具有執行 11/16 22:26

→ rambo2728:此動作的權限 11/16 22:26

→ junorn:你用檔案總管刪嗎？那你帳號要提權才行 11/16 22:32

推 rambo2728:唔唔可是我很確定我使用者帳號已具有系統管理員資格了 11/16 22:43

→ rambo2728:整台電腦也只有這個帳號而已也在控制台確認過了咧.... 11/16 22:44

→ rambo2728:不過他就是不給我刪除....冏 11/16 22:44

→ junorn:那就還是用腳本好了 11/16 23:13

→ junorn:本文內的 ** 號之間的文字在MOVE FILE::下方加上 11/16 23:14

→ junorn:c:\windows\system32\calc.exe 11/16 23:14

→ junorn:之後再照本文內的方式跑過吧，跑完不用貼報告，就觀察狀況 11/16 23:15

推 rambo2728:跑完了再來就真的是觀察情況了....感謝J大您今天這樣 11/16 23:30

→ rambo2728:鼎力相助了....真的很謝謝您了... 11/16 23:30