[建議] 關於最近一堆系統被改成1970年的
這個病毒最機車的地方不在於關掉防毒軟體
而是改系統時間
這樣做對於病毒本身有什麼好處?
1.combofix有可能抓不出來 因為根本沒有檔案在1970年新增
2.防毒軟體會誤判,有些防毒軟體也會認日期的 卡巴好像就會
3.Sreng沒辦法掃 因為他也會認日期
那病毒到底是怎麼辦到這點的?
他把自己寫入系統服務,進windows就會啟動這項服務
也會在各個磁碟寫入autorun.inf 主要執行檔是rising.exe的樣子
由於根本就是隨身碟病毒的一種
所以在毒還沒解完全之前 千萬不要用滑鼠直接點兩下的方式來開硬碟
另外,他的服務名稱不一定 但是幾乎都是八位數字加上英文大寫的樣子
應該是亂數去配的吧?這個我就沒把握了
該怎麼解?
先去下載Sreng放桌面吧
進安全模式 先將系統時間調回正常吧 這樣才能啟動Sreng
這時combofix跟Sreng應該都能用了
而J大放在置底的檔案 最好也跑過一遍
比較簡便的解法,只針對機碼下去處理的話
看是要執行Sreng的Boot Items
Services的Win32 Services
找到英文(都大寫)數字組合夾雜在一起的 然後啟動狀態又是Auto Start的
就有很大的可能是。
如果combofix掃下去,有新增的檔名跟Services相符且日期很接近中毒那天
那就有更大可能了
如果沒把握的話 可以先不刪 只要把Auto Start改成 Disable (有可能不止一組)
重開機如果沒有回復1970(or 2070)年
恭喜 那你就找到了
目前雖然在下解的不多 也不過三個還是四個吧
不過相信應該會多起來才是
以上是解毒心得
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.161.92.229
※ 編輯: meletor 來自: 218.161.92.229 (04/10 01:27)
推
04/10 01:42, , 1F
04/10 01:42, 1F
→
04/10 01:50, , 2F
04/10 01:50, 2F
推
04/10 01:51, , 3F
04/10 01:51, 3F
→
04/10 01:52, , 4F
04/10 01:52, 4F
→
04/10 01:53, , 5F
04/10 01:53, 5F
推
04/10 01:54, , 6F
04/10 01:54, 6F
※ abian:轉錄至看板 ask 04/10 01:55
※ abian:轉錄至看板 Notebook 04/10 01:56
推
04/10 02:01, , 7F
04/10 02:01, 7F
→
04/10 02:07, , 8F
04/10 02:07, 8F
推
04/10 02:23, , 9F
04/10 02:23, 9F
推
04/10 03:43, , 10F
04/10 03:43, 10F
推
04/10 03:51, , 11F
04/10 03:51, 11F
※ dodo22:轉錄至看板 MSNmessenger 04/10 10:49
→
04/10 10:49, , 12F
04/10 10:49, 12F
※ qaws68:轉錄至看板 share 04/10 11:52
推
04/11 00:52, , 13F
04/11 00:52, 13F
→
04/11 00:57, , 14F
04/11 00:57, 14F
→
04/11 13:13, , 15F
04/11 13:13, 15F
→
04/11 13:14, , 16F
04/11 13:14, 16F
→
04/11 13:15, , 17F
04/11 13:15, 17F
推
04/15 20:27, , 18F
04/15 20:27, 18F
推
05/03 13:42, , 19F
05/03 13:42, 19F