Re: [方案] 這兩天的倒數60秒

看板AntiVirus作者cmonkey (蝦猴)時間15年前 (2008/09/27 22:33)推噓5(5推 0噓 10→)

留言15則, 3人參與討論串5/7 (看更多)

※ 引述《cmonkey (蝦猴)》之銘言： : spoolsv.exe的確是被改了。 : http://www.badongo.com/file/11511957 : 把兩個檔案上傳，讓高手看看。 : 另v2messem.exe被 pccilline隔離了，找不到說。 : 被清除掉的中毒檔如下： : http://www.badongo.com/file/11512031 : 這個好像是升上sp3才會中的毒？報告，之前照著方法做了。但是 copy回去的並不是網路上提供的而是另一台電腦上的spoolsv.exe(5.1.2600.5512 (xpsp.080413-0852)) 有數位簽章的那個。但是仍然被替換到了，而且重新開始重新開機。我想，病毒應該是沒清乾淨。現在我則是弄一個名叫print.dll的目錄上去，並且把這個目錄設唯讀。又重新開機了。我又試了一下方案。會不會是沒有立刻重新開機吧？若重開機再回報。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.73.153.56 ※ 編輯: cmonkey 來自: 203.73.153.56 (09/27 22:52) ※ 編輯: cmonkey 來自: 203.73.153.56 (09/27 23:53) 果然又重開機了。似乎是連線時間超過一小時的時候就重新開機。不過spoolsv.exe還有數位簽章，沒被置換耶？怪。 ※ 編輯: cmonkey 來自: 203.73.153.56 (09/28 00:46) ※ 編輯: cmonkey 來自: 203.73.153.56 (09/28 00:47)

推

junorn

09/28 01:09, , 1^F

09/28 01:09, 1^F

→

junorn

09/28 01:09, , 2^F

09/28 01:09, 2^F

→

junorn

09/28 01:10, , 3^F

09/28 01:10, 3^F

※ 編輯: cmonkey 來自: 203.73.153.56 (09/28 02:11)

→

cmonkey

09/28 02:11, , 4^F

09/28 02:11, 4^F

→

cmonkey

09/28 02:12, , 5^F

09/28 02:12, 5^F

→

chicobo

09/28 04:01, , 6^F

09/28 04:01, 6^F

→

chicobo

09/28 04:01, , 7^F

09/28 04:01, 7^F

log.txt檔案如下： http://www.badongo.com/file/11522876 至於這兩個目錄，是我自已建立的。跟病毒無關。 C:\WINDOWS\system32\sprint.dll C:\WINDOWS\system32\spoolsv.ex_ 之前找regedit.exe裡面並沒有sprint.dll等資料。能不能請問一下，刪除的 c:\windows\system32\mdm.exe c:\windows\system32\ubs.exe 這兩個是啥玩意兒？ ※ 編輯: cmonkey 來自: 203.73.153.56 (09/28 10:00)

推

junorn

09/28 10:08, , 8^F

09/28 10:08, 8^F

推

junorn

09/28 10:09, , 9^F

09/28 10:09, 9^F

→

cmonkey

09/28 10:49, , 10^F

09/28 10:49, 10^F