作者CassSunstein (Pm)
看板AntiVirus
標題Re: [問題] 怎麼處置被復原的「IDP.ALEXA.51」病毒?
時間Wed Dec 26 03:31:11 2018
D大您的警誡很好,可惜隨身碟在影印行被病毒入侵後,回家將隨身碟插上電腦,第一時間
我的隨身碟內資料無法被看到,但只有點那個數據機圖示(捷徑--網路上說點下去就放出
病毒,但當時我不清楚,事後聽說了但也沒辦法,因為必須叫出隨身碟內的資料)下去才
看得到。
只是這情況因為很怪,我知隨身碟內有毒了,所以我就對隨身碟掃毒發現了
「IDP.ALEXA.51」,隨身碟插著電腦,我猜毒也跑進電腦了,我掃電腦也發現
「IDP.ALEXA.51」、此時在防毒軟體提供的步驟下,我將隨身碟中與電腦中的
「IDP.ALEXA.51」都加以隔離。
此時問題是:昨天我掃完將「IDP.ALEXA.51」「又」隔離後,此時隨身碟的資料即使點按
數據機圖示,反而完全不出現。有些重要的文件檔啊...我又能怎麼辦呢?「沒隔離前」
至少還能讓隨身碟內各檔案出現啊。所以只好「解除隔離(復原)」以求至少隨身碟內的
資料如同未隔離「IDP.ALEXA.51」以前一樣先變回來啊....
這是我這種資科能力麻瓜者只能想到的「回到上一動」的邏輯啊。
ps.而且麻煩的是,當時心慌意亂。我忘了我在隔離區是將挑中的好幾個
「IDP.ALEXA.51」(因為半年來我去過該影印行很多次、也中過很多次,防毒軟體掃到後
也隔離了幾次)中的哪一個「復原到電腦硬碟」或「復原到隨身碟」?(因為隨身碟插著
電腦,已交叉感染。導致原先隨身碟中與電腦中都有「IDP.ALEXA.51」被我在掃描後移到
防毒軟體隔離區)
因此本文請D大及其他高手們不吝指點本文篇幅中凡是那些有問號之處。感謝感謝~
(如果承蒙回文逐段賜教,更加感謝~)
1F:推 DINJIAPC: IDP技術是主防 ,恭喜親手將未入庫的病毒完全放行。搶12/26 00:35
資科麻瓜在此請教:「完全放行」是指?指已經縱虎歸山再也無法用防毒軟體的通常掃描
方式抓到不知躲去哪的「IDP.ALEXA.51」?
此外,放行是指我現有的防毒軟體Avast放行嗎?如果答案為yes,那麼,如果我按照jo大
的建議,先解安裝Avast然後下載安裝其他防毒軟體例如AVG來掃,會掃得出來(然後再加
以隔離)嗎?。..或其實如您所暗示的已「縱虎歸山」,再也來不及隔離了?
其三,D大說IDP技術是「主防」,請教:「主防」是什麼意思?
2F:→ DINJIAPC: 救文寫在下面幾篇求救文中自己爬吧。正確作法都要手工 12/26 00:35
我10年前在撐到距今2年前而報廢的筆電中,曾中過一則很刁鑽的毒,一般防毒軟體根本殺
不掉、病毒發作時,螢幕畫面整個如壞掉的電視機螢幕一樣亂閃,強制重新開機後,通常
模式的桌面根本進不去,只能再次強制開機後趕緊按鍵在安全模式中進桌面,用上了置底
求救文上說的三種清除程式「Combofix、Hijackthis、SRENG」才解毒,也很感謝那三個程
式(其設計者功力似乎比商業防毒軟體工程師還強啊)。
我忘了當初有無提交log資料(印象中有)。好像沒等有高手告知進一步的解法,我自行靠
執行三個程式,就直接救回我電腦,我也就沒去留意是否有高手依log資料回答全盤的解法
了。
請問我目前「貌似」電腦一切正常(我只是很想找出被我「還原」的「IDP.ALEXA.51」
跑到硬碟中的哪去了)。請教D大,目前情況仍屬於您暗示的「已經完全放行(像我上述
10年前那樣)」的危機嗎?
或是說,「IDP.ALEXA.51」的特色不是讓系統崩潰(例如10年前那次的螢幕畫面亂閃),
而是屬於間諜程式偷偷將宿主硬碟內資料、密碼等等連線給遠方駭客?所以我目前電腦
瀏覽與打字才完全沒異樣?
3F:→ DINJIAPC: 分析log 在寫清除腳本你自己加油 解法都放在下數篇討論12/26 00:35
4F:→ DINJIAPC: 中 找到就能當毒王了12/26 00:35
解法即便寫在求救資訊文,但身為資科麻瓜,「寫『清除腳本』」這個任務我現在完全
沒概念、腦筋打結。畢竟上次是10年前,真是歲月匆匆。我剛剛再次去看置底求救資訊文
,發現一些不懂之處:
1.求救資訊文內說要先全系統掃描。可是我就是以Avast掃過卻沒再發現(被我「復原」的
)病毒。所以這邊我腦筋就不知下一步該做啥、腦筋鈍住了。請大家對此點解惑啊。
2.關於求救資訊文建議的下載、執行ATF cleaner程式(用以清除暫存檔)
http://sylovanas.blogspot.com/2009/04/atf-cleaner.html
因為網頁中所說的「請參考此圖示」的教學「圖示」不知怎的現出不來(圖案只變成三角
形中有一個驚嘆號)--很多網友也推文證實圖片現不出,導致我不知怎麼辦。因此請問:
如果下載這個ATF cleaner,是不是執行上反正就一直「確定、確定」地執行下去、不必擔
憂按錯?可是因為Windows系統好像自身就有清除暫存檔的指令,程序比較簡單。請問:
不適合以Windows系統本身的清除暫存檔功能代替ATF cleaner嗎?
3.求救資訊文附的Hijackthis的程式載點頁面好像已經滄海桑田變成不相干的。
似乎要從網友建議的下方這個網址下載,是嗎?
https://sourceforge.net/projects/hjt/files/latest/download
4.Combofix這個程式我印象中(?)好像原設計者已經宣佈停止更新?是這樣嗎?
5.因為10年前太久了我印象變淡。請問,這三個程式「Combofix、Hijackthis、SRENG」
我分別都是點下去就對了、中途不會出現哪些還要思考選yes或no的選擇吧(不然就傷腦筋
了)?
此外,Combofix的說明頁面說「請先將防毒程式防護關閉(不是關閉防毒程式介面)」,
我被名詞搞混了。比如以Avast為例,我該關閉的到底是什麼(我平常只會死板使用Avast
,分不清什麼「『防毒防護』關閉」或「關閉『防毒程式介面』」,完全沒概念)。
能請大家解說這兩個名詞概念是哪裡不同呢?
6.log文(D大所謂「寫『清除腳本』」)到底要寫/附上什麼、怎麼寫/附(而且形式是
什麼:pdf?doc?),來上傳到雲端?三程式執行完的「結果資料」怎麼摘錄?ex.複製貼
上?
著手執行前想先了解一下,以免執行到一半萬一要輸入什麼指令時我腦筋打結..
7.「Combofix、Hijackthis、SRENG」、ATF cleaner等程式執行過程中,頂多只須用滑鼠
點選選項,不需用到鍵盤去在或許冒出的Dos視窗中輸入指令(這樣對資科麻瓜的壓力比較
小)吧?
以上懇請高手們指點或解答。感激不盡。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.136.53.188
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1545766275.A.4E9.html
5F:→ whatisapity: 你沒看懂 12/26 03:54
6F:→ whatisapity: IDP是防毒軟體使用的技術名稱,不是病毒的名稱 12/26 03:55
感謝wh大惠予多多講解啊...
※ 編輯: CassSunstein (101.136.53.188), 12/26/2018 03:56:53
7F:→ whatisapity: 這種技術是針對程式的「行為」去攔截 12/26 03:56
8F:→ whatisapity: 而不是偵測程式碼 12/26 03:56
9F:→ CassSunstein: 抱歉我誤解了~我文中IDP我以為是標題那個ALEXA.51~~ 12/26 03:58
10F:→ CassSunstein: 導致我簡稱it為IDP~抱歉我竟然雞同鴨講~sorry~ 12/26 03:58
已經都改正回來標題的名稱了。
11F:→ whatisapity: 現在既然這個「行為」已經不存在了 12/26 04:04
有點看懂您的意思了。不過新的疑惑是:如果是「只有一個被隔離」的「IDP.ALEXA.51」
很符合您說的我手動讓防毒軟體對「IDP.ALEXA.51」改變認定。
但請問有好幾個「IDP.ALEXA.51」在病毒隔離區的話呢:
我「還原」了「其中一個」。但隔離區還有「其他」「IDP.ALEXA.51」還被關著。
所以我的Avast對於那個「被放走」的「IDP.ALEXA.51」,理論上而言,重新掃描,
到底還查得到被放走的「IDP.ALEXA.51」嗎?Avast到底怎麼看待「IDP.ALEXA.51」?
因為「有被放走的」也有「依然被關的」啊。我自己都腦筋打結了。..請wh大講解啊...
12F:→ whatisapity: 就算防毒掃到也不會當它是惡意軟體 12/26 04:04
13F:→ whatisapity: 因為防毒軟體根本不認識它 12/26 04:06
14F:→ whatisapity: 只是認為它的「行為」很可疑而已 12/26 04:06
所以請問wh大,如今我該做哪些可行的檢測/偵查動作來查出「IDP.ALEXA.51」到底藏在
哪呢?跟網路上那些教導輸入指令然後查這查那讓我腦筋打結相比,倒不如我寧可採用jo
大說的「換裝其他掃毒軟體另掃一次」都簡單些?
加上D大判斷我已經將「IDP.ALEXA.51」縱虎歸山,所以我現在會緊張,今晚難以入睡了..
15F:→ whatisapity: D大的意思大概是這樣吧? 12/26 04:07
16F:→ whatisapity: 先問一下你有沒有開UAC好了 12/26 04:13
17F:→ whatisapity: 通常UAC沒被過,惡意軟體就做不了什麼大事 12/26 04:13
18F:→ whatisapity: 因為要安裝Win32應用一定要管理員權限 12/26 04:13
19F:→ whatisapity: 沒開就重灌吧,別煩惱了 12/26 04:13
20F:→ CassSunstein: 我電腦買了就用 完全不清楚有無開UAC使用者帳戶控制 12/26 04:15
21F:→ CassSunstein: 要怎麼查有開或沒開UAC呢?(剛google後才知UAC意思) 12/26 04:19
22F:→ CassSunstein: 我這台的系統是Win10~Win10中怎麼查有無開UAC呢? 12/26 04:20
23F:→ whatisapity: 「您是否要允許下列程式變更這部電腦?」 12/26 04:26
24F:→ whatisapity: 安裝軟體時看過這視窗嗎?有看過就是有開 12/26 04:26
啊我有印象有這個詢問,我每次還要點選「是(同意變更為新程式)。那麼是有開UAC囉。
上方您指導說「沒開就重灌」,如果「有開(UAC)」您說則會?
25F:→ whatisapity: 啊,Win10好像是說「此App」和「裝置」 12/26 04:28
26F:→ whatisapity: 反之就差不多這種東西 12/26 04:29
27F:→ CassSunstein: 能請wh大講解一下您說"這個「行為」已經不存在了"的 12/26 04:37
28F:→ CassSunstein: 亦即您的04:04那句推文 下方的我的疑惑嗎 感謝感謝~ 12/26 04:38
※ 編輯: CassSunstein (101.136.53.188), 12/26/2018 04:38:53
29F:→ CassSunstein: 我還有一台XP pack 3的電腦也常插過中毒的隨身碟 12/26 04:42
30F:→ whatisapity: 問Google吧,我不是專家 12/26 04:43
31F:→ whatisapity: 用IDP、行為防護、Avast這幾個關鍵字去查 12/26 04:43
32F:→ CassSunstein: XP之中又宜如何處置此病毒呢(但Avast完全沒掃到它) 12/26 04:44
33F:→ CassSunstein: 嗯 謝謝wh大百忙之中熱心的講解~~ 12/26 04:45
34F:→ whatisapity: 喔,我看錯你的問題,抱歉 12/26 04:50
35F:→ whatisapity: 重新回答一次好了 12/26 04:52
36F:→ whatisapity: 答案是,我不知道怎麼處理wwwwwww 12/26 04:54
37F:→ whatisapity: 用Malwarebytes或ESET online scanner碰運氣吧 12/26 04:54
38F:→ whatisapity: ESET online scanner的話建議把潛在不安全應用 12/26 04:56
39F:→ whatisapity: 和潛在不需要應用都打勾 12/26 04:56
40F:→ whatisapity: 可能會誤報,自己判斷一下 12/26 04:56
41F:→ whatisapity: 我再講下去大概會被真正懂的人臭罵一頓 12/26 05:11
42F:→ whatisapity: 所以就這樣吧www 12/26 05:11
43F:推 DINJIAPC: S31290228.pixnet.net 看完再說 12/26 06:42
44F:→ DINJIAPC: 小寫... 12/26 06:42
45F:推 DINJIAPC: 上班沒睡很累了 9點再來寫吧 12/26 06:46
46F:推 DINJIAPC: 1.請用7z去開啟隨身碟. 12/26 06:49
47F:→ DINJIAPC: 2.blog的流程與工具包看過備用.如果你還有原本的樣本檔 12/26 06:49
48F:→ DINJIAPC: 請打包 找免空上傳補上網址。 12/26 06:49
49F:推 tonyxfg: 呃...如果找不到資料,你有試著打開"顯示隱藏的檔案"這選 12/26 08:48
50F:→ tonyxfg: 項嗎? 12/26 08:49
51F:推 DINJIAPC: 他打不開的.土法煉鋼的用rar去看去搜尋比較實在 12/26 09:30
52F:→ CassSunstein: 請問D大 您說的s31290228網頁中的防毒程式 是用來 12/26 14:46
53F:→ CassSunstein: 裝在"隨身碟中"來避免病毒入侵隨身碟的嗎? 12/26 14:47
54F:推 DINJIAPC: 不是,是方便你拿去各電腦殺毒的 12/26 19:57