五千年(敝帚自珍)

主题:【原创】中毒了…… -- bluesknight

共:💬29 🌺21
分页树展主题 · 全看首页 上页
/ 2
下页 末页
  • 家园 【原创】中毒了……

    自从有电脑以来,中毒也不是一次两次的事情了,可是从没有像这次那样严重——非全盘格式化不能解决问题。特在此把病毒特征和中毒经过描述一下,希望能起到前车之鉴的作用。。。

    病毒危害:该病毒貌似是利用微软上个月公布的windows漏洞传播的,中毒的机子可能完全被远程操控,并自动下载别的病毒。此病毒感染svchost.exe以及所有可执行文件(好像也包括.rar文件),而且不像过去的病毒那样只是在文件头写入病毒代码。想杀毒?那好,整个文件都删了吧该病毒还具有自我复制自主备份自动运行功能,换言之,杀不禁绝的说。另外,如果中毒的时候有其他移动存储设备连在电脑上,比如usb disk,那么这些设备很可能也带毒了。。。

    中毒特征:杀毒软件无法使用,木马克星可以,但由于感染的是svchost.exe文件,所以不大可能杀干净。windows界面下无法显示隐藏文件,系统运行速度变慢,在dos下用netstat -o察看网络状态会发现有不明进程与本机通讯,用dir /a察看磁盘会发现在很多目录下都多了_desktop.ini,autorun.inf或是sxs.exe文件(属性为隐藏/系统)另外说明一下,由于此病毒会通过远程通讯自主下载别的病毒,所以我也不清楚这些特征具体是由哪个病毒引起的。

    杀毒方法:杀毒软件的论坛有各式各样的方法,但都很难保证杀干净,其实最笨的方法往往是最好的——全盘格式化。偶是用系统盘启动,然后把所有硬盘分区删除(这样就变成只有一块大硬盘),然后重新分区、格式化、安装系统。如果硬盘上有重要数据要备份的话,要注意文档格式:一般来说word,excel,图片及音乐文档是不会被感染的,但是最好不要把整个文件夹都备份下来——因为里面很可能有你看不到的属性为隐藏的病毒文件,可以先在dos下删掉这些隐藏的东西再备份

    防范措施:排在第一位的就是把windows的自动更新打开。现在的网络病毒大都是通过windows漏洞传播,如果能及时把洞堵上就安全的多。其次,尽量通过路由器上网,比直接用adsl modem上要安全。最后一条就是上网的时候不要下载不明文件,不要去不安全站点,这个说得容易做的难——要是下A片中招偶也认了,可这次不过是下了部“东京审判”想对自己进行一下爱国主义教育,结果realplayer播放时的弹出窗口就把我的机子搞挂了。。。(偶因此极度怀疑放毒的家伙是台湾人或是日本人

    希望这些东西对河友们能有点帮助,别像偶这么倒霉。。。(8g的mp3,20g的电影,所有的作业和讲义,已完成一半的business plan。。。不说了,我到一边哭去了


    本帖一共被 2 帖 引用 (帖内工具实现)
    • 家园 赶快下了个咔吧6.0~

      咔吧就是好就是好就是好~

    • 家园 这个病毒叫infostealer,王道士有张疗毒方

      这个病毒的特征是先进入TEMP的文件夹,在启动后改变了很多exe文件的关联,有个很明显的特征是有些程序的LOGO会变花了。除了在很多文件夹里都增加了一个_desk.ini的新文件,windows的文件夹里还可以看到有DLL.dll,logo1_,1[1]等奇怪的新文件,在system32也增加了个zll.dll的文件,如果run msconfig可以看到有个rundll32.exe,有人给出了比较完全版:

      1.exe

      1976.exe

      2.exe

      3.exe

      555s.exe

      6.exe

      7627_db_client.exe

      8165_db_CONFIG.EXE

      AB2DLL.DLL

      access98.dll

      AjanConf_Eng.exe

      AjanServ.exe

      AjanWiew.exe

      au.exe

      au_eq.exe

      b.exe

      Client.exe

      clock.exe

      consoleserver.EXE

      country.exe

      csfix.exe

      dale earnhardt 1951-2001.exe

      de_l.exe

      dl.exe

      dll3.exe

      EPS.EXE

      fasth.exe

      gauu.exe

      gdwxp3.dll

      gHookDll.dll

      Gip111exe.exe

      Gip111jpg.exe

      hollday.exe

      ibm00001.dll

      ie_0907.exe

      inet.exe

      MINE_b.exe

      mir2.exe

      mIRCupd.exe

      msapin32.dll

      msctl32.dll

      mx_10.exe

      PRICOL.DLL

      RatCT.exe

      rundll32.exe

      scrs.exe

      Server.exe

      setup.exe

      sndctl32.dll

      snddrv32.dll

      sproc32.exe

      svchost.exe

      sys5.exe

      sysconfig.exe

      systrimit.exe

      Troj-BAT.PSW.MiniLD.f-2.exe

      Troj-BAT.PSW.MiniLD.f.exe

      Troj-Dropper.Small.AE.exe

      ttt1.exe

      uk_ip.exe

      update.exe

      us_our.exe

      V2.exe

      veja457.exe

      win32vxd.dll

      windereuchlei.exe

      work.exe

      wow.exe

      wsl21390.dll

      [email protected]

      yp.exe

      z.exe

      zt.exe

      其中很多看起来非常亲切,因为都在抓狂的时候拉过手喝过酒。这些先不忙着删除,因为重开机还会自己出来。网上看了些怎样杀除这个病毒的介绍,都不怎么working,自己杜撰了一个汤头,竟然有效,供河里使用W2000和XP的朋友们参考。

      1,最好是先找一台没受病毒感染的机器,下载AVG FREE EDITION杀毒软件,网址如下:

      http://free.grisoft.com/doc/2/lng/us/tpl/v5

      点download free version的小框子,下载完毕后再下载全部的更新,共有四个:

      http://free.grisoft.com/doc/24/lng/us/tpl/v5

      然后把这五个文件放在一个文件夹里,可以用U盘,也可以烧在CD上,最好不要通过网络传到需要杀毒的计算机上。

      如果朋友相信norton防毒软件还能工作,可以这里下载更新:

      http://www.symantec.com/avcenter/download/pages/US-N95.html

      2,首先,断开其余计算机,或者断开怀疑有病毒的计算机的网络连接,开机按F8,会出现一个菜单,选1,安全模式或2,带网络连接的安全模式,我选的是2,如果还有其他硬盘先断开。

      3,机器启动完毕后打开我的电脑,在每个驱动盘符上点右键,选共享和安全,去除所有的共享(如果发现被奇怪的共享为“C$”并还提示被多次共享,就恭喜你捕获了一台中毒的机器)

      4,关闭系统复原,可以在控制面板的系统里找到,这点一定不要忘记。

      5,放入CD或者U盘,找到放置AVG free edition的那个文件夹,点击AVG那个彩色图标开始安装,在选择升级的时候点文件夹,找到放置AVG文件的文件夹,就自己升级到最新的版本,然后继续,到扫描计算机,如果发现病毒时弹出窗口,可以选择不管和让病毒隔离或下地狱。

      多扫描几次,直到不再发现病毒为止,有些应用程序可能需要重新安装。如果计算机原来安装过NORTON杀毒软件可以重新打开下载更新,再次扫描,在下让AVG冲锋,Norton殿后,感觉比较有效。网络中如有其他计算机也要重复上面步骤逐一检查,这个病毒的感染力是比较强大的。

      另补充一点,病毒会在很多(几乎是全部)文件夹里留下个_desktop.ini的文件,到此一游,消闷解愁的风格。可以运行CMD,在每个盘符号下打入:

      del _desktop.ini /f/s/q/a (可不要输入错了,如果错删了desktop.ini会不会欲哭无泪呢?还是不要试为妙)

      或者可以用文件搜索方式,点更多高级选项,勾选搜索隐藏的系统文件和文件夹以及子文件夹,寻找出所有的_desktop.ini然后删除。

      亡羊补牢ABC:

      1,放置Administrator密码

      2,不采用共享

      3,个人计算机可以安装zone alarm免费版这个软件,可以很有效的保护计算机不受侵害。

      这个病毒是木马和病毒结合型的,Symantec原来把这个病毒定义在危害轻微,老虎这次打了盹。好在9月20日的更新已经可以很有效的防治这个病毒。

      • 家园 好像c$是xp的默认共享,实质上并没有共享文件

        盘符后没有$才是真共享

        另外这个病毒感染力实在强大,要杀干净真是够困难的

        • 家园 确实如此

          通常只有用“Administrator”的用户名才能看到“C$”之类的默认共享,XP有管理员权限的用户在打开共享时,会有一个“如果您知道风险,但还是要共享驱动器的根目录,请单击此处”的共享向导。

          俺用的笨办法,每台机器都同时断网反复查杀,最初还在internet临时文件夹里有发现病毒,现在已经平安无事了。

          • 家园 我这个月被这个病毒整惨了,机器重装了3次

            第一次没在意, 以为只是个小case,结果norton报错的线程1分钟内上升到900多个, 每隔一分钟CPU占有率就100%,不停的往外发送和下载插件.

            第二次重装,发现装后的72小时又中招, 晕死,原来他在所有的驱动器下面都装了一个备份......

            第三次就不说了, 唉, 丢人哪

            后来我拖了一个卡巴斯基试用的,在带毒状态下勉强搞干净了.这东西比较强,不过经常搞的系统一顿一顿的.

            • 家园 可以装个NORTON的中小企业版

              中小企业版的2.0,3.0都可以,自带防火墙;可以在应用程序企图访问网络的时候阻断;只要没有设成可以信赖的IP地址,就算网线连着也没办法访问。EMULE上就有。瑞星的防火墙实在是没办法说好用,装上以后会导致访问不了内网的机器和打印机。

              另外C盘可以分小一点,只装系统和应用软件;装好NORTON和更新后备份。这样,电脑系统可能几个月都不会需要重新装;重新装的目的只是为了检验硬件是否出现问题。最好不要用外面流行的GHOST恢复盘来恢复安装;

              • 家园 呵呵,我现在的机器还是带毒运行着

                只不过关键的几个进程被卡巴阻止了.

                原来用的是诺顿的企业套装8.6,防火墙用sygate,这两样都比较旧了,很难适应现在的新情况.这个病毒比较讨厌的地方在不停的自我复制,杀都杀不干净,而且除了重新分区,没有什么特别有效的办法.

                谢谢老兄指点,我去下载一个3.0的来试试看,不过现在我对诺顿没有太大信心.

    • 家园 建议:安装norton,不要用个人版

      打开自动防护就行。另外,有hijackthis可以删除广告软件。

      这年头,什么都不安全。

    • 家园 【文摘】病毒借道.RM影音文件传播

      国内黑客正在网络上疯狂发布经过特殊编辑的.rm影音文件,无论用户使用任何常用播放软件(如RealPlayer、解霸系列、Winamp等),只要打开此文件时,都会不知不觉地中毒。

      昨天,江民公司反病毒中心监测到,有国内黑客在网络上疯狂发布经过特殊编辑的. rm影音文件。反病毒专家介绍说,此次截获的恶意.rm文件,是通过向.rm文件中添加正常事件数据而成的。当用户使用其他常用播放软件(如解霸系列、 Winamp等)打开恶意.rm文件时,也都会弹出广告窗口,链接恶意网站,造成中毒。

      反病毒专家提醒广大用户,除后缀.rm的文件外,.rmvb、.ram后缀的文件同样可能会弹出恶意广告,链接恶意网址。网上冲浪时,一定不要轻易下载和播放来源不明的.rm影音文件。(记者 张煦)

分页树展主题 · 全看首页 上页
/ 2
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河