最近大家po了很多log檔上來，其實我們很難每一篇都回文... 因此我大略說一下如何從log檔中看出病毒， 這並不是非常專業的講解， 想要研究請看 http://www.bleepingcomputer.com/forums/index.php?showtutorial=42 大部分cpu100%、bbs可用而網頁卻不能開、首頁綁架、跳廣告、 網路傳封包等可經由看log檔解決， 不過有些像是網路會自己斷線、電腦無預警重開機， 就不見得是病毒了，可能原因很多，不贅述。 基本上，有一點很重要：不清楚的就不要亂刪！！！ 為了方便大家檢查自己的log檔，在上一篇文章中， 我會po出正常的xp的log檔，(NT/2000也適用) 裡頭列出了一些常見的exe檔， 大家可以先習慣一下密密麻麻的文字； po正常程式的log檔的最大目的是， 可以先將這些程式排除在可疑程式之外； 這樣將可大幅減輕辨認的困難度。 一般說來，在經過我po的那篇正常程式的檢驗之後， 一定還會剩下一些程式.... 注意！剩下來的不一定就是不好的程式！ 接下來要做的，就是把你認識的，以及你安裝過的程式也排除在可疑程式之外； 剩下來的也不見得就是惡意程式，可以把檔名如(xxxxx.exe)放到google上去找， 要搜尋所有網站，包括英文；只搜尋繁體中文通常沒什麼資料... 這樣又可過濾掉一些正常程式， 然後，就是抓病毒的時候了！ (這其實需要些經驗) 重要：要把檔名(拼字)和路徑(所屬資料夾)看清楚，不要刪錯了！ 做log檔要在一般正常模式做比較好，較能看出惡意程式！ 我轉錄了某一位版友的log檔來作範例， 呃，因為這篇log檔中的毒比較"完整"且具代表性^^||： 以下這些都是病毒，務必要和04的項目做比較，就可以發現一些端倪。 C:\WINDOWS\System32\w32usb2.exe C:\WINDOWS\System32\rofl.exe C:\WINDOWS\System32\wuamngr32.exe C:\temp\msbb.exe C:\DOCUME~1\Owner\LOCALS~1\Temp\24.tmp.exe C:\WINDOWS\System32\ztrtazv.exe C:\WINDOWS\System32\fwlhiv.exe 很明顯的，病毒的目的就是要干擾甚至破壞你的電腦；因此， 病毒會在04項目出現很多次，以確保在開機時病毒就會被執行， 所以，當你發現這邊有很多一直重複出現的執行檔，就要密切注 意它了 O4 - HKLM\..\Run: [] O4 - HKLM\..\RunServices: [] O4 - HKLM\..\RunOnce: [] O4 - HKCU\..\Run: [] O4 - HKCU\..\RunOnce: [] 舉個例子： O4 - HKLM\..\Run: [Microsoft Excell] wuamngr32.exe O4 - HKLM\..\RunServices: [Microsoft Excell] wuamngr32.exe O4 - HKCU\..\Run: [Microsoft Excell] wuamngr32.exe 另外，在[xxxxxx]這個框框中，常有一些字眼，如Microsoft、update、 service、configurationant、antivirus、firewall等，這種欲混淆視聽 卻又欲蓋彌彰的更要注意！ 再重複一遍，可能會有檔名和正常程式很相近的， 務必要把路徑和檔名都看清楚！ 有些亂碼病毒，比如： O4 - HKLM\..\Run: [wgrwao] C:\WINDOWS\System32\ztrtazv.exe O4 - HKLM\..\Run: [lyzgb] C:\WINDOWS\lyzgb.exe 這種看久了就會有感覺了 另外，有時可能會在04項目發現疑似病毒，但在最上面一開始的地方卻沒 發現病毒在執行，這是有可能的。所以log檔裡電腦正在執行的程 式的部分，要和04項目一起看。 以下這些都是該Fix Checked的東西，可以往前爬文，看看TureCooler大大的回文， 看看一些病毒的特徵。 R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no f i le) O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\nem 2 19.dll O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDO W S\localNRD.dll O2 - BHO: (no name) - {83DE62E0-5805-11D8-9B25-00E04C60FAF2} - C:\WINDOWS\2_0_1 b rowserhelper2.dll O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - C:\WINDOWS\wse m 301.dll O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Program F iles\SideFind\sfbho.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WI N DOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WIN D OWS\System32\mscb.dll O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\Sys t em32\apuc.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WI N DOWS\System32\msbe.dll O3 - Toolbar: ISTbar - {5F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program File s \ISTbar\istbar.dll O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe O4 - HKLM\..\Run: [Microsoft Excell] wuamngr32.exe O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [[Ephemeral 2.4] by TreeHugger, ] C:\DOCUME~1\Owner\LOCALS~1\ T emp\24.tmp.exe O4 - HKLM\..\Run: [IST Service] C:\Program Files\ISTsvc\istsvc.exe O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\opt i mize.exe" O4 - HKLM\..\Run: [wgrwao] C:\WINDOWS\System32\ztrtazv.exe O4 - HKLM\..\Run: [BullsEye Network] C:\Program Files\BullsEye Network\bin\barg a ins.exe O4 - HKLM\..\Run: [Win32 USB2 Driver] rofl.exe O4 - HKLM\..\Run: [System Security Updates] fwlhiv.exe O4 - HKLM\..\Run: [lyzgb] C:\WINDOWS\lyzgb.exe O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe O4 - HKLM\..\RunServices: [Microsoft Excell] wuamngr32.exe O4 - HKLM\..\RunServices: [Win32 USB2 Driver] rofl.exe O4 - HKLM\..\RunServices: [System Security Updates] fwlhiv.exe O4 - HKLM\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe O4 - HKLM\..\RunOnce: [Win32 USB2 Driver] rofl.exe O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe O4 - HKCU\..\Run: [Microsoft Excell] wuamngr32.exe O4 - HKCU\..\Run: [Win32 USB2 Driver] rofl.exe O4 - HKCU\..\Run: [System Security Updates] fwlhiv.exe O4 - HKCU\..\RunOnce: [Win32 USB2.0 Driver] w32usb2.exe O4 - HKCU\..\RunOnce: [Win32 USB2 Driver] rofl.exe O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Progr a m Files\SideFind\sidefind.dll 016的項目： 在一堆數字後面都會有網址，只要是沒看過or看起來不順眼的的網頁， 就把它勾起來，按Fix checked p.s.有以下這兩個一定要勾起來按Fix checked O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.c o m/get_file.php?bt=ie&p=01fd3e5f78bc3d8e066d3bc6e669ff0d7a5533c3cdc849a3f43a7737 7 80f8e76ac3665f47dba62a84bafbb038aad94a7200d2470:f7775abcd73d2fa63daf646f6163625 7 O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://ww w .xxxtoolbar.com/ist/softwares/v4.0/0006_regular.cab O17的項目不用管他 以下這些是最近常出現的廣告元件， 若在02-BHO項目發現，除了fix之外，還要手動刪除 C:\WINDOWS\nem219.dll C:\WINDOWS\localNRD.dll C:\WINDOWS\2_0_1browserhelper2.dll C:\WINDOWS\wsem301.dll C:\WINDOWS\System32\nvms.dll C:\WINDOWS\System32\mscb.dll C:\WINDOWS\System32\apuc.dll C:\WINDOWS\System32\msbe.dll 以下這些是最近很流行的廣告軟體，若在log檔中發現這些資料夾的存在， 就把它刪除 C:\Program Files\SideFind C:\Program Files\ISTbar C:\Program Files\ISTsvc C:\Program Files\Winad Client C:\Program Files\BullsEye Network C:\Program Files\Internet Optimizer 最後就是要進行刪除病毒的動作了： 1.重開機按F8進入安全模式(不含網路功能)後，將可疑程式找到， 找不到沒關係；(連隱藏檔都要找，建議可用搜尋) 按開始功能表-->搜尋-->檔案或資料夾-->選"搜尋所有檔案和資料" -->進階選項-->勾選"搜尋隱藏檔案及資料夾" 2.對著檔案按滑鼠右鍵-->內容-->版本，如果沒有著作權，就把它刪除 3.將與病毒相關的所有東西(包括02、04、08、09等)，勾起來， 按Fix checked 4.重新正常開機，大功告成。 最後的話：hijackthis絕不是萬能的，如果這樣仍無法解決問題， 就要從別處找問題來源了！ -- 必做：馬上為你使用者設密碼(控制台中有一個使用者帳戶　找到自己的名稱 另外 你的電腦如果有Administrator ,Guest帳戶的話 也一併設密碼) 做完windows update(重大更新部份, 開始程式集中有) 以上 也請你將你的防毒軟體更新到最新病毒碼並掃毒過一次 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.31.176.9 ※ 編輯: Jason11982 來自: 61.31.176.9 (09/16 00:27)