推 hirokofan: ....這毒超老的吧,對WIN10應該無效,但是資料怎麼找回 01/12 09:09
→ hirokofan: 來可能比較麻煩,我都是塞給LINUX去處理 01/12 09:09
推 hirokofan: 我都用最笨的方法,檔案複製出來,隨身碟格式化再COPY 01/12 09:12
→ hirokofan: 回去-_- 01/12 09:12
結論我猜是win10中毒不會擴散,但本身win10也會執行病毒
根據本版推文 #1JSkg5vk (AntiVirus)
OK,我剛剛搞定了這個東西,他自我複製到本機路徑大概是在
登錄編輯程式中的起始選項
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
旁邊也有一個假的csrss.exe,這個路徑就是指向他自我複製到本機
C:Users\使用者名稱\AppData\Roaming\Microsoft\Crypto\fH\csrss.exe
開工作管理員,有三個csrss.exe,其中一個居然不是system執行的,馬上停止
問題是小紅傘居然不認為這是毒,只好手動隔離刪除
→ malk1986: 有些地方以為是有人住的 但是你去過的地方卻是空的!? 01/12 17:30
→ malk1986: 用 SystemExplorer 試試看 這東西可以偵測假執行檔案 01/12 17:32
上傳給小紅傘實驗室,得到回信是這樣
Filename Result
7261d429.vir MALWARE
The file '7261d429.vir' has been determined to be 'MALWARE'. Our analysts
named the threat TR/Agent.177152.120. The term "TR/" denotes a trojan horse
that is able to spy out data, to violate your privacy or carry out unwanted
modifications to the system. Detection is added to our virus definition file
(VDF) starting with version 8.12.44.242.
這也真奇怪,自己產品不當他是病毒,防毒公司居然又說他是病毒
※ 編輯: hazel0093 (140.119.136.250), 01/12/2016 19:30:36
推 hirokofan: XD 01/13 11:40
→ George017: 就啟發式沒抓到啊!所以你看他回你的最後面 01/13 11:47
→ George017: 他把你貢獻的這支加入病毒資料庫裡了 01/13 11:48