作者meletor (....)
看板AntiVirus
标题[建议] 关於最近一堆系统被改成1970年的
时间Tue Apr 10 01:21:27 2007
这个病毒最机车的地方不在於关掉防毒软体
而是改系统时间
这样做对於病毒本身有什麽好处?
1.combofix有可能抓不出来 因为根本没有档案在1970年新增
2.防毒软体会误判,有些防毒软体也会认日期的 卡巴好像就会
3.Sreng没办法扫 因为他也会认日期
那病毒到底是怎麽办到这点的?
他把自己写入系统服务,进windows就会启动这项服务
也会在各个磁碟写入autorun.inf 主要执行档是rising.exe的样子
由於根本就是随身碟病毒的一种
所以在毒还没解完全之前 千万不要用滑鼠直接点两下的方式来开硬碟
另外,他的服务名称不一定 但是几乎都是八位数字加上英文大写的样子
应该是乱数去配的吧?这个我就没把握了
该怎麽解?
先去下载Sreng放桌面吧
进安全模式 先将系统时间调回正常吧 这样才能启动Sreng
这时combofix跟Sreng应该都能用了
而J大放在置底的档案 最好也跑过一遍
比较简便的解法,只针对机码下去处理的话
看是要执行Sreng的Boot Items
Services的Win32 Services
找到英文(都大写)数字组合夹杂在一起的 然後启动状态又是Auto Start的
就有很大的可能是。
如果combofix扫下去,有新增的档名跟Services相符且日期很接近中毒那天
那就有更大可能了
如果没把握的话 可以先不删 只要把Auto Start改成 Disable (有可能不止一组)
重开机如果没有回复1970(or 2070)年
恭喜 那你就找到了
目前虽然在下解的不多 也不过三个还是四个吧
不过相信应该会多起来才是
以上是解毒心得
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.161.92.229
※ 编辑: meletor 来自: 218.161.92.229 (04/10 01:27)
1F:推 abian:推一个 04/10 01:42
2F:→ meletor:刚好自己在这版的第200篇 XD 04/10 01:50
3F:推 abian:请问可以转录到ask版和notebook版吗? 想必这问题,未来几天 04/10 01:51
4F:→ abian:会很热门 (在ask版已经有二个人问了,nb-shopping也有人问) 04/10 01:52
5F:→ meletor:转吧,只要不要再转回AntiVirus版就好 04/10 01:53
6F:推 abian:谢谢 <(__ __)> 04/10 01:54
※ abian:转录至看板 ask 04/10 01:55
※ abian:转录至看板 Notebook 04/10 01:56
7F:推 jubowbow:档砍了~~可是进去系统桌面全没了>< 04/10 02:01
8F:→ meletor:楼上你还是我第一个遇到这种情况的 04/10 02:07
9F:推 jubowbow:是运气太好吗T.T 04/10 02:23
10F:推 junorn:都是rising.exe.... 04/10 03:43
11F:推 junorn:这个好像有很多变种了要注意一下,有部分一样会感染执行档 04/10 03:51
※ dodo22:转录至看板 MSNmessenger 04/10 10:49
12F:→ dodo22:借转@@q 04/10 10:49
※ qaws68:转录至看板 share 04/10 11:52
13F:推 samq:疑?跟我之前中的一样耶~~还好我没执行~(原来我走在流行尖端) 04/11 00:52
14F:→ samq:不过没执行还是会产生八位数英数交杂病毒~~ 04/11 00:57
15F:→ meletor:不,你已经在不知不觉中执行了。不管是网路下载(应该是 04/11 13:13
16F:→ meletor:Script造成下载病毒且执行或是随身碟插入然後autorun执行 04/11 13:14
17F:→ meletor:)一定有执行到才会这样。 04/11 13:15
18F:推 deat:大大谢谢你!我解开了!感谢! 04/15 20:27
19F:推 wubaii:我也解开了,上来推一下。 05/03 13:42