作者kitleong (gogogo)
看板AntiVirus
標題[方案] 頑強病毒: SACH0ST.EXE, EVENTREP.dll
時間Wed Oct 3 22:03:06 2007
圖文版:
http://dcaid.com/article/article.asp?tid=145
--------------
今天收到一台中毒徵像奇怪的電腦要處理,簡單來說,那台電腦大約每幾分鐘無預警的重
新開機,使用者的描述就是如此,這樣聽起來好像那些主機版電容爆裂的問題,但拆開後
所有電容正常,所以便往軟體方面的檢查,不檢查還好,一檢查才知是一麻煩的病毒:
SACH0ST.EXE, EVENTREP.dll
經檢查後,最明顯的表明徵狀是:
1. 每5~10分鐘無遇警重開機一次
2. 防火牆狀態自動被關閉,手動再開啟不久後又再被關閉
3. 工作管理員有奇怪程式: sach0st.exe
4. 使用了Trend Micro System Cleaner
(
http://www.trendmicro.com/download/zh-tw/tsc.asp) 及AVG的掃瞄後,是有一
些病毒被檢查出來:
system32/pood.exe [TROJ_MUDROP.EQ] (Failed)
system32/ineters.exe [TROJ_VB.FJP] (Deleted)
system32/eventrep.dll [TROJ_DELF.KLZ] (Deleted)
system32/good.exe [TROJ_MUDROP.AZ] (Deleted)
使用者暫存目錄/x.jpg [TROJ_MUDROP.AZ] (Deleted)
system32/soundman.exe [Generic.DMD]
system32/pood.exe [Trojan horse Dropper.VB.FE]
system32/alcwzrd.exe [Trojan horse Dropper.VB.CY]
這些被檢查出來的,故然是有問題的檔案,解決上述檔案後,重新開機的問題已經不在,
防火牆亦不會自動被關閉,但關鍵的SACH0ST.EXE並沒有被清除。
隨後用了AVG Anti-spyware仍無效,所以不予細述。
繼續查了一些資料後,幾乎所有資料來源都來自大陸,所以顯見此病毒應該大陸駭客所為
,但其有什麼行為,為什麼會中等資料缺乏,有另一支名字類似的病毒(SVCH0ST)是側
錄帳號/密碼的偷帳號/密碼的病毒,所以暫時只好推測此SACH0ST.EXE為同類型病毒,
處理步驟如下。
1. 為避免被XP的系統還原影響,先把系統還原關閉。(控制台→系統→系統還原→關閉
系統還原)
2. 關閉瀏覽器。
3. 這次會用到強力工具: WSyscheck,還沒有的朋友請先到作者(wangsea)的官網下載
http://free5.ys168.com/?wangsea WSyscheck 0725英文版,或者在本站亦有一備份:
http://dcaid.com/article/File/Wsyscheck0725.zip (1mb)
下載時請勿下載中文版,因為那個中文版是簡體中文版,作者寫程式時亦無用unicode
,所以在我們的繁體中文XP是不能用的。
4. 解壓縮後啟動即可使用,先點擊Safe Check。
5. 然後在右上方的Disabled Program Run的視窗內按右鍵,選Add New Disabled Run,
分別加入ineters.exe及SACH0ST.exe到Disabled Program Run中。(切記SACH0ST.exe
中的0是零,不是O啊)然後此程式就可以關閉了。
http://www.dcaid.com/article/Image/20071003/image005.png
6. 然後把服務打開。(控制台→系統管理工具→服務)
7. 在此,除了正常的服務外,會見到不正常的服務:Help and Support、VisPlug and
Play Removable Storage,有資料說還有一個bootdrv,但在我處理的這台沒看到。
(看描述全是簡體字或亂碼,用想的都知道是有問題的服務了,順帶一提,現在新
型病毒越來越多使用服務的方式常駐,除了不好發現外,亦不好清除)
http://www.dcaid.com/article/Image/20071003/image007.png
8. 在有問題的服務上點兩下,在啟動類型處改為己停用,然後重開機。
9. 重開機後,在工作管理員上應該已經見不到此病毒在運作,然後趕緊把問題檔案殺除:
windows\system32\ineters.exe
windows\system32\wbem\SACH0ST.exe
windows\system32\eventrep.dll
windows\system32\drivers\bootdrv.sys ← 此檔案是有些資料中說有的,但在我處
理的案例中沒有此檔案,不過反正有就刪吧。
後記
現在的病毒/木馬真的是越來越頑強,要處理真的是越來越麻煩(不要跟我說重灌,個人
覺得那是沒志氣的做法,而且會影響到使用者習慣/資料等問題,能不重灌時我絕不會輕
言重灌),不過大多出自大陸,大陸網站奉勸大家沒必要還是少去為妙,防毒軟體絕對不
是100%有用,這點一定要記得,同時,就算已經裝了防毒、防後門、有做好更新還是不能
掉以輕心,否則下一個中標就是你了,發現電腦有狀況時快點處理,這樣麻煩或許也較少
呢,碰到沒看過的問題,無朋友可請教時,向Google老師請教吧,祝大家使用電腦都平平
安安吧!
--
歡迎參觀我的網站:
http://www.dcaid.com/
旅遊/攝影/電腦/數位相機的介紹, 教學, 評測的網站, 慢慢成長中... ~ :)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.116.116
1F:推 greenxie:看起來是真的很頑強 還好我沒中到 原po是高手 10/04 04:08
2F:推 veryabel:大王m大王m 10/04 10:56