|
引用 | 编辑
lens690
2006-10-24 20:23 |
楼主
▼ |
||
x0
第一支,主要症状:会自动透过特定的DNS Server连线上特定网站,且在执行中会自动封锁首页、防毒程式、防火墙等。 追踪:系统档案(windows\system32\wininet.dll)遭到窜改,DNS被手动指定到 85.255.116.131 and 85.255.112.165 解毒:手动清除不应该存在的执行序程式,并使用ERD Commander光碟开机,将正确的档案Copy回System32中。手动修改Reg内不应存在或被修改的机码,却发现,在[HLKM\Software\Microsoft\Windows\Run、RunOnce、RunService]等,都有不应存在的程式及子机码,手动移除后,重新开机。OK。 第二支,主要症状:开机依段时间后,会自动呼叫IE并连线到不知名的网站。 追踪:系统中没有其他不应存在的程式,也没有未知的注册DLL档。 解毒:使用ProcessExploreNt找出躲藏的DLL并删除他...  x1
|
|||
|
引用 | 编辑
upside
2006-10-24 21:05 |
1楼
▲ ▼ |
|
现在的病毒与木马 都会窜改原系统档
例小弟刚好有个 rundll32.exe 档案 位置在于 c:\windows\system32 也是被木马侵入 会一直跑出大陆的网站 若将其隔离或删除 会造成系统错误 若还原回去系统就正常 但该网页仍会出现 卡巴一直会侦测到 但是却无法解毒 其他扫木马程式 也无法解除 x0
|
|
|
引用 | 编辑
lens690
2006-10-24 21:10 |
2楼
▲ ▼ |
|
发现,最近蛮常在用Windows PE + ERD Commander的..因为...一堆死木马,整天搞我的User...去~
x0
|
|
|
引用 | 编辑
upside
2006-10-24 21:20 |
3楼
▲ ▼ |
|
已经到了使用 winpe 的问题 那大概就是系统已经完全损毁连安全模式都进不去了
其实小弟正在研究一键还原系统的功能 此软体不是os 还原 而只是 os 的系统档及登录档的标准备份档 还原 其实研究过这么多的 病毒与木马 虽然发作的状况不一定 但是会攻击的系统档与登录档 都是大同小异 而造成 首页被绑架或跳出广告网页 甚至系统损毁 都有一个模式可供寻找 但是新版的作业系统 即将又面市 好不容易做出来的软体 可能很快就无法再使用 不过其实原理相同 最近在玩 vista 除了画面较漂亮之外 其他无太大改变 x0
|
|
|
引用 | 编辑
tonyhsu010
2006-10-26 06:35 |
4楼
▲ ▼ |
|
病毒这一块实在是让人很头痛
 各种病毒无所不在..天阿怎会有这些病毒唷 对解毒还是蒙懂...需要大家一起专研..切磋  x0
|
|
