小弟上一篇文里有很多地方没有说明的很清楚 没办法，因为如果打太多大概没人想看完吧 (虽然还是打了很多...哈) 1. 为何lcjjaff大回的删除方法无效？ 其实lcjjaff大的清除方式是正确的，但是由於17727中病毒已透过网路下载了dnsq.dll这 个档案，这个档案会监控LSASS.EXE进程是否被关闭，如果检查到被关闭则重新启动该进 程，如果无法启动则会直接关机来避免被删除，因此使用OTMoveIt时会自动关机。而小弟 由於拥有缺乏耐心这个优点(？)，因此还没等dnsq.dll这个档案下载完就开始进行删除， 所以没有这个问题 另外该病毒会持续监控注册表，因此如果在病毒进程启动的情况下修复安全模式会马上再 次被破坏，故想利用先修复注册表再进入安全模式的方式无效 2. 如果下载档案时出现下载setup.exe的情况是否代表中毒了？ 这个问题无法给一个明确的答案，因为会出现下载setup.exe只能表示在你所在的区网内 有人中了这只病毒，然後该病毒透过ARP欺骗，在截取到的封包内插入恶意代码，使区网 内的使用者连至h**p://121.15.220.104下载setup.exe，因此和使用者是否中毒并没有必 然的关系 3. 至於cscxc大所提到的ARP欺骗的问题小弟想说明一下，这只病毒"本身"其实是不会进 行ARP欺骗的，而是在使用者中毒之後透过网路至远端网站下载的恶意程序才会有这个行 为，因此中毒之後早一点开始删除病毒也可以减少区网内其他使用者中毒的机率 4. 该病毒感染应用程式的范围仅限"逻辑磁区"，因此在删除病毒之後如果只使用系统磁 区内的应用程式的话是不会再次感染的，当然前提是你运行的并不是原本让你中毒的那个 病毒执行档... --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.166.26.236