作者kitleong (gogogo)
看板AntiVirus
标题[方案] 顽强病毒: SACH0ST.EXE, EVENTREP.dll
时间Wed Oct 3 22:03:06 2007
图文版:
http://dcaid.com/article/article.asp?tid=145
--------------
今天收到一台中毒徵像奇怪的电脑要处理,简单来说,那台电脑大约每几分钟无预警的重
新开机,使用者的描述就是如此,这样听起来好像那些主机版电容爆裂的问题,但拆开後
所有电容正常,所以便往软体方面的检查,不检查还好,一检查才知是一麻烦的病毒:
SACH0ST.EXE, EVENTREP.dll
经检查後,最明显的表明徵状是:
1. 每5~10分钟无遇警重开机一次
2. 防火墙状态自动被关闭,手动再开启不久後又再被关闭
3. 工作管理员有奇怪程式: sach0st.exe
4. 使用了Trend Micro System Cleaner
(
http://www.trendmicro.com/download/zh-tw/tsc.asp) 及AVG的扫瞄後,是有一
些病毒被检查出来:
system32/pood.exe [TROJ_MUDROP.EQ] (Failed)
system32/ineters.exe [TROJ_VB.FJP] (Deleted)
system32/eventrep.dll [TROJ_DELF.KLZ] (Deleted)
system32/good.exe [TROJ_MUDROP.AZ] (Deleted)
使用者暂存目录/x.jpg [TROJ_MUDROP.AZ] (Deleted)
system32/soundman.exe [Generic.DMD]
system32/pood.exe [Trojan horse Dropper.VB.FE]
system32/alcwzrd.exe [Trojan horse Dropper.VB.CY]
这些被检查出来的,故然是有问题的档案,解决上述档案後,重新开机的问题已经不在,
防火墙亦不会自动被关闭,但关键的SACH0ST.EXE并没有被清除。
随後用了AVG Anti-spyware仍无效,所以不予细述。
继续查了一些资料後,几乎所有资料来源都来自大陆,所以显见此病毒应该大陆骇客所为
,但其有什麽行为,为什麽会中等资料缺乏,有另一支名字类似的病毒(SVCH0ST)是侧
录帐号/密码的偷帐号/密码的病毒,所以暂时只好推测此SACH0ST.EXE为同类型病毒,
处理步骤如下。
1. 为避免被XP的系统还原影响,先把系统还原关闭。(控制台→系统→系统还原→关闭
系统还原)
2. 关闭浏览器。
3. 这次会用到强力工具: WSyscheck,还没有的朋友请先到作者(wangsea)的官网下载
http://free5.ys168.com/?wangsea WSyscheck 0725英文版,或者在本站亦有一备份:
http://dcaid.com/article/File/Wsyscheck0725.zip (1mb)
下载时请勿下载中文版,因为那个中文版是简体中文版,作者写程式时亦无用unicode
,所以在我们的繁体中文XP是不能用的。
4. 解压缩後启动即可使用,先点击Safe Check。
5. 然後在右上方的Disabled Program Run的视窗内按右键,选Add New Disabled Run,
分别加入ineters.exe及SACH0ST.exe到Disabled Program Run中。(切记SACH0ST.exe
中的0是零,不是O啊)然後此程式就可以关闭了。
http://www.dcaid.com/article/Image/20071003/image005.png
6. 然後把服务打开。(控制台→系统管理工具→服务)
7. 在此,除了正常的服务外,会见到不正常的服务:Help and Support、VisPlug and
Play Removable Storage,有资料说还有一个bootdrv,但在我处理的这台没看到。
(看描述全是简体字或乱码,用想的都知道是有问题的服务了,顺带一提,现在新
型病毒越来越多使用服务的方式常驻,除了不好发现外,亦不好清除)
http://www.dcaid.com/article/Image/20071003/image007.png
8. 在有问题的服务上点两下,在启动类型处改为己停用,然後重开机。
9. 重开机後,在工作管理员上应该已经见不到此病毒在运作,然後赶紧把问题档案杀除:
windows\system32\ineters.exe
windows\system32\wbem\SACH0ST.exe
windows\system32\eventrep.dll
windows\system32\drivers\bootdrv.sys ← 此档案是有些资料中说有的,但在我处
理的案例中没有此档案,不过反正有就删吧。
後记
现在的病毒/木马真的是越来越顽强,要处理真的是越来越麻烦(不要跟我说重灌,个人
觉得那是没志气的做法,而且会影响到使用者习惯/资料等问题,能不重灌时我绝不会轻
言重灌),不过大多出自大陆,大陆网站奉劝大家没必要还是少去为妙,防毒软体绝对不
是100%有用,这点一定要记得,同时,就算已经装了防毒、防後门、有做好更新还是不能
掉以轻心,否则下一个中标就是你了,发现电脑有状况时快点处理,这样麻烦或许也较少
呢,碰到没看过的问题,无朋友可请教时,向Google老师请教吧,祝大家使用电脑都平平
安安吧!
--
欢迎参观我的网站:
http://www.dcaid.com/
旅游/摄影/电脑/数位相机的介绍, 教学, 评测的网站, 慢慢成长中... ~ :)
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.112.116.116
1F:推 greenxie:看起来是真的很顽强 还好我没中到 原po是高手 10/04 04:08
2F:推 veryabel:大王m大王m 10/04 10:56