http://www.bleepingcomputer.com/forums/index.php?showtutorial=42
大部分cpu100%、bbs可用而網頁卻不能開、首頁綁架、跳廣告、
網路傳封包等可經由看log檔解決,
不過有些像是網路會自己斷線、電腦無預警重開機,
就不見得是病毒了,可能原因很多,不贅述。
基本上,有一點很重要:不清楚的就不要亂刪!!!
為了方便大家檢查自己的log檔,在上一篇文章中,
我會po出正常的xp的log檔,(NT/2000也適用)
裡頭列出了一些常見的exe檔,
大家可以先習慣一下密密麻麻的文字;
po正常程式的log檔的最大目的是,
可以先將這些程式排除在可疑程式之外;
這樣將可大幅減輕辨認的困難度。
一般說來,在經過我po的那篇正常程式的檢驗之後,
一定還會剩下一些程式....
注意!剩下來的不一定就是不好的程式!
接下來要做的,就是把你認識的,以及你安裝過的程式也排除在可疑程式之外;
剩下來的也不見得就是惡意程式,可以把檔名如(xxxxx.exe)放到google上去找,
要搜尋所有網站,包括英文;只搜尋繁體中文通常沒什麼資料...
這樣又可過濾掉一些正常程式,
然後,就是抓病毒的時候了!
(這其實需要些經驗)
重要:要把檔名(拼字)和路徑(所屬資料夾)看清楚,不要刪錯了!
做log檔要在一般正常模式做比較好,較能看出惡意程式!
我轉錄了某一位版友的log檔來作範例,
呃,因為這篇log檔中的毒比較"完整"且具代表性^^||:
以下這些都是病毒,務必要和04的項目做比較,就可以發現一些端倪。
C:\WINDOWS\System32\w32usb2.exe
C:\WINDOWS\System32\rofl.exe
C:\WINDOWS\System32\wuamngr32.exe
C:\temp\msbb.exe
C:\DOCUME~1\Owner\LOCALS~1\Temp\24.tmp.exe
C:\WINDOWS\System32\ztrtazv.exe
C:\WINDOWS\System32\fwlhiv.exe
很明顯的,病毒的目的就是要干擾甚至破壞你的電腦;因此,
病毒會在04項目出現很多次,以確保在開機時病毒就會被執行,
所以,當你發現這邊有很多一直重複出現的執行檔,就要密切注
意它了
O4 - HKLM\..\Run: []
O4 - HKLM\..\RunServices: []
O4 - HKLM\..\RunOnce: []
O4 - HKCU\..\Run: []
O4 - HKCU\..\RunOnce: []
舉個例子:
O4 - HKLM\..\Run: [Microsoft Excell] wuamngr32.exe
O4 - HKLM\..\RunServices: [Microsoft Excell] wuamngr32.exe
O4 - HKCU\..\Run: [Microsoft Excell] wuamngr32.exe
另外,在[xxxxxx]這個框框中,常有一些字眼,如Microsoft、update、
service、configurationant、antivirus、firewall等,這種欲混淆視聽
卻又欲蓋彌彰的更要注意!
再重複一遍,可能會有檔名和正常程式很相近的,
務必要把路徑和檔名都看清楚!
有些亂碼病毒,比如:
O4 - HKLM\..\Run: [wgrwao] C:\WINDOWS\System32\ztrtazv.exe
O4 - HKLM\..\Run: [lyzgb] C:\WINDOWS\lyzgb.exe
這種看久了就會有感覺了
另外,有時可能會在04項目發現疑似病毒,但在最上面一開始的地方卻沒
發現病毒在執行,這是有可能的。所以log檔裡電腦正在執行的程
式的部分,要和04項目一起看。
以下這些都是該Fix Checked的東西,可以往前爬文,看看TureCooler大大的回文,
看看一些病毒的特徵。
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no f
i
le)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem
2
19.dll
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDO
W
S\localNRD.dll
O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1
b
rowserhelper2.dll
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wse
m
301.dll
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program
F
iles\SideFind\sfbho.dll
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WI
N
DOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WIN
D
OWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\Sys
t
em32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WI
N
DOWS\System32\msbe.dll
O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program File
s
\ISTbar\istbar.dll
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\Run: [Microsoft Excell] wuamngr32.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOCUME~1\Owner\LOCALS~1\
T
emp\24.tmp.exe
O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\opt
i
mize.exe"
O4 - HKLM\..\Run: [wgrwao] C:\WINDOWS\System32\ztrtazv.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\barg
a
ins.exe
O4 - HKLM\..\Run: [Win32 USB2 Driver] rofl.exe
O4 - HKLM\..\Run: [System Security Updates] fwlhiv.exe
O4 - HKLM\..\Run: [lyzgb] C:\WINDOWS\lyzgb.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [Microsoft Excell] wuamngr32.exe
O4 - HKLM\..\RunServices: [Win32 USB2 Driver] rofl.exe
O4 - HKLM\..\RunServices: [System Security Updates] fwlhiv.exe
O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] rofl.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [Microsoft Excell] wuamngr32.exe
O4 - HKCU\..\Run: [Win32 USB2 Driver] rofl.exe
O4 - HKCU\..\Run: [System Security Updates] fwlhiv.exe
O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] rofl.exe
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Progr
a
m Files\SideFind\sidefind.dll
016的項目:
在一堆數字後面都會有網址,只要是沒看過or看起來不順眼的的網頁,
就把它勾起來,按Fix checked
p.s.有以下這兩個一定要勾起來按Fix checked
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.c
o
m/get_file.php?bt=ie&p=01fd3e5f78bc3d8e066d3bc6e669ff0d7a5533c3cdc849a3f43a7737
7
80f8e76ac3665f47dba62a84bafbb038aad94a7200d2470:f7775abcd73d2fa63daf646f6163625
7
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://ww
w
.xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab
O17的項目不用管他
以下這些是最近常出現的廣告元件,
若在02-BHO項目發現,除了fix之外,還要手動刪除
C:\WINDOWS\nem219.dll
C:\WINDOWS\localNRD.dll
C:\WINDOWS\2_0_1browserhelper2.dll
C:\WINDOWS\wsem301.dll
C:\WINDOWS\System32\nvms.dll
C:\WINDOWS\System32\mscb.dll
C:\WINDOWS\System32\apuc.dll
C:\WINDOWS\System32\msbe.dll
以下這些是最近很流行的廣告軟體,若在log檔中發現這些資料夾的存在,
就把它刪除
C:\Program Files\SideFind
C:\Program Files\ISTbar
C:\Program Files\ISTsvc
C:\Program Files\Winad Client
C:\Program Files\BullsEye Network
C:\Program Files\Internet Optimizer
最後就是要進行刪除病毒的動作了:
1.重開機按F8進入安全模式(不含網路功能)後,將可疑程式找到,
找不到沒關係;(連隱藏檔都要找,建議可用搜尋)
按開始功能表-->搜尋-->檔案或資料夾-->選"搜尋所有檔案和資料"
-->進階選項-->勾選"搜尋隱藏檔案及資料夾"
2.對著檔案按滑鼠右鍵-->內容-->版本,如果沒有著作權,就把它刪除
3.將與病毒相關的所有東西(包括02、04、08、09等),勾起來,
按Fix checked
4.重新正常開機,大功告成。
最後的話:hijackthis絕不是萬能的,如果這樣仍無法解決問題,
就要從別處找問題來源了!
--
必做:馬上為你使用者設密碼(控制台中有一個使用者帳戶 找到自己的名稱
另外 你的電腦如果有Administrator ,Guest帳戶的話 也一併設密碼)
做完windows update(重大更新部份, 開始程式集中有) 以上
也請你將你的防毒軟體更新到最新病毒碼並掃毒過一次
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 61.31.176.9
※ 編輯: Jason11982 來自: 61.31.176.9 (09/16 00:27)
最近大家po了很多log檔上來,其實我們很難每一篇都回文...
因此我大略說一下如何從log檔中看出病毒,
這並不是非常專業的講解,
想要研究請看