作者junorn (威廉華勒斯)
看板AntiVirus
標題Re: [情報] 這個連結是病毒!!請不要點!大家注意
時間Mon Feb 5 10:39:32 2007
來吧
AVP Club初步分析那個連結是會有底下的行為
下載DSC000339.pif
該威脅產生
C:\WINDOWS\SYSTEM32\msync.exe
可能會產生
c:\sample.exe
由C:\WINDOWS\SYSTEM32\msync.exe
寫入下列登錄檔
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM就是HKEY_LOCAL_MACHINE
至於C:\WINDOWS\SYSTEM32\msync.exe會不會在產生其他的病毒檔案
目前還不知道,建議有點的人把Combofix和Hijackthis掃過一次之後Po上來給
高手看。
如果沒有其他的東西的話
處理的方法為
按下CTRL+ALT+DEL開啟工作管理員
尋找msync.exe和sample.exe
將這兩個停止執行
刪除C:\WINDOWS\SYSTEM32\msync.exe
c:\sample.exe
不知道在哪裡的DSC000339.pif
按開始 -> 執行 -> 輸入regedit.exe
至HKLM\Software\Microsoft\Windows\CurrentVersion\Run
尋找字串值為C:\WINDOWS\SYSTEM32\msync.exe的將其刪除後
重開機
目前得到的資訊是這樣但是有沒有其他併發症不敢說。
--
暮色逼近的雲朵之上,總是孤單一隻地飛著,老鷹一定很悲傷吧
在聲音也中斷的風之中,抓住天空的那對翅膀,無法休息
把心比喻成什麼吧,宛如老鷹一般的這顆心
把心比喻成什麼吧,比喻為宛如在天空飛舞般的悲傷
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.74.150.89
※ 編輯: junorn 來自: 211.74.150.89 (02/05 10:42)
※ 編輯: junorn 來自: 211.74.150.89 (02/05 10:51)
1F:推 hellman0719:我沒有抓到sample,倒是抓到csrss大家注意一下 02/06 00:16
2F:→ hellman0719:csrss.exe在C槽下,應該是這隻病毒創造出來的 02/06 00:17
3F:推 yingtin:我找不到regedit.exe 02/07 00:08
4F:→ yingtin:找到了 抱歉 02/07 00:10