Re: [方案] 這兩天的倒數60秒

看板AntiVirus作者 (威廉華勒斯)時間15年前 (2008/09/28 23:05), 編輯推噓25(25015)
留言40則, 23人參與, 最新討論串7/7 (看更多)
整個資訊大概整理一下,因為有部分不太正確 ( 我前面發的有一點不正確 0rz ) 正確的清除步驟大致如下: 1.懶的手動或不知道怎麼手動 那就下載置底閃光文 EFix 4.84 版執行後重開機看有沒有好轉 ( 執行中途會重開機,因為有部分檔案要重開機後才能刪 ) 2.覺得EFix問題太多寫太爛不想執行的人 a.先開啟工作管理員將spoolsv.exe和使用者名稱那一欄名稱是自己登錄名稱的 svchost.exe關閉 b.將windows\system32\spoolsv.exe刪除 (只要這個spoolsv.exe就可以其他不用) b2.找正常的檔案補回去,正常檔案請爬前面的文. c.將windows\system32\sprint.dll刪除 d.將windows\system32\dots.exe刪除 ( 不一定有 ) 或者是windows\system32\dots1.exe e.重開機 然後測試看看有沒有好轉 3.覺得手動不會或很懶又覺得EFix問題太多寫太爛不想執行的人 ........去找好人或花錢處理吧。 ------------------------------------------------ 但由於目前只知道種入系統的檔案造成的影響 而並不知道入侵系統的手法,所以是否還會在有不清楚 ( 系統已乾淨但又被入侵 ) 自己多注意就是。 -- 人間世稱做緣 相連的紅線不停纏繞 脆弱而惹人悲憐的彼岸花 憤怒、傷感、終日以淚洗面 在凌晨零時的夜幕中 為你消除無法平息的怨恨 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.132.171.86 ※ 編輯: junorn 來自: 220.132.171.86 (09/28 23:08) ※ 編輯: junorn 來自: 220.132.171.86 (09/28 23:08)
09/28 23:12, , 1F
辛苦了
09/28 23:12, 1F
09/28 23:33, , 2F
辛苦了 大好人
09/28 23:33, 2F
09/28 23:39, , 3F
傳說中的好人 就決定是你了~
09/28 23:39, 3F
09/28 23:41, , 4F
辛苦了
09/28 23:41, 4F
09/28 23:44, , 5F
辛苦了 好人卡獻上xd
09/28 23:44, 5F
09/28 23:45, , 6F
辛苦了~~
09/28 23:45, 6F
09/28 23:49, , 7F
多謝。
09/28 23:49, 7F
※ 編輯: junorn 來自: 220.132.171.86 (09/28 23:58)
09/29 00:26, , 8F
辛苦了~~感謝板大~
09/29 00:26, 8F
09/29 00:36, , 9F
( ′▽`)-o█
09/29 00:36, 9F
09/29 00:37, , 10F
版大的 EFIX 超好用的~我用它幫一堆人解KXVO哩..版大是好人
09/29 00:37, 10F
09/29 03:20, , 11F
請問文章內容可以借轉於其他網站嗎? 我會標明作者的
09/29 03:20, 11F
09/29 07:41, , 12F
板大辛苦了:)
09/29 07:41, 12F
09/29 07:52, , 13F
有你真好~~ ( ′▽`)-o因囡囝囚
09/29 07:52, 13F
09/29 08:49, , 14F
有需要就轉
09/29 08:49, 14F
09/29 09:21, , 15F
造福人群!
09/29 09:21, 15F
09/29 10:56, , 16F
近有很多這種殖入替代型木馬,應該還有Rootskit部份
09/29 10:56, 16F
09/29 10:58, , 17F
應該有,但目前沒辦法取得入侵的手法也無從得知。
09/29 10:58, 17F
09/29 11:34, , 18F
感謝
09/29 11:34, 18F
09/29 11:35, , 19F
辛苦了~
09/29 11:35, 19F
09/29 13:03, , 20F
覆蓋了版大的正確檔後 2.3天後又出現倒數60秒關機
09/29 13:03, 20F
09/29 13:04, , 21F
而且spoolv.exe也變成數位簽章沒過= =
09/29 13:04, 21F
09/29 13:05, , 22F
剛剛用了EFIX跑過一遍後數位簽章又過了 目前持續觀察
09/29 13:05, 22F
09/29 13:05, , 23F
害我現在都怕怕的= = 這病毒太機車了!!
09/29 13:05, 23F
09/29 13:08, , 24F
多謝板大提供的方法 不然真的挫勒旦!!
09/29 13:08, 24F
09/29 13:08, , 25F
請問這是覆蓋檔案後的結果嗎?
09/29 13:08, 25F
09/29 13:10, , 26F
因為18002J大的回應中好像要覆蓋
09/29 13:10, 26F
09/29 13:22, , 27F
回f大 的確要覆蓋 但是我是覆蓋後又跳回去之前的樣子
09/29 13:22, 27F
09/29 13:23, , 28F
所以才用EFIX徹底掃過一遍
09/29 13:23, 28F
09/29 13:45, , 29F
http://0rz.tw/a44Oc prevx.com的分析
09/29 13:45, 29F
09/29 14:07, , 30F
再一個,http://0rz.tw/944TA ThreatExpert.com
09/29 14:07, 30F
09/29 14:35, , 31F
嗯?為何要建立系統紀錄和系統還原相關登錄值?
09/29 14:35, 31F
09/29 14:58, , 32F
j大,我很菜,不瞭解為何?不想亂猜.....
09/29 14:58, 32F
09/29 16:21, , 33F
推,太厲害了~
09/29 16:21, 33F
09/29 17:20, , 34F
http://tinyurl.com/4nscsa ThreatExpert.com
09/29 17:20, 34F
09/29 17:21, , 35F
http://tinyurl.com/3rq566 prevx.com 不過TE的報告裡面沒有
09/29 17:21, 35F
09/29 17:22, , 36F
註明關於Cookies跟History所屬的登錄值被修改到LocalService
09/29 17:22, 36F
09/30 06:47, , 37F
前兩天都沒跳出來, 剛剛又跳出來了, 該怎麼辦才好 = ="
09/30 06:47, 37F
09/30 09:08, , 38F
問一下,我把spoolv.exe刪掉後換新的,結果出現Windows檔案保
09/30 09:08, 38F
09/30 09:10, , 39F
護 這個視窗,這個按取消會有影響嗎?
09/30 09:10, 39F
09/30 09:34, , 40F
to aamon 下載置底的Efix跑完之後將掃描報告貼上來
09/30 09:34, 40F
※ 編輯: junorn 來自: 210.68.130.155 (09/30 09:43)
更多 junorn 的文章
文章代碼(AID): #18tvrFHl (AntiVirus)
討論串 (同標題文章)
完整討論串 (本文為第 7 之 7 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共7篇)
更多 junorn 的文章
文章代碼(AID): #18tvrFHl (AntiVirus)