PDA

請幫小弟掃一下病毒檔案




頁 : 1 [2]
FYI
2009-05-13, 08:25 PM
由於病毒阻止KAV7 更新病毒碼, 並且影響Explorer.exe, 小弟於是將中毒硬碟移到其他電腦掃描, 但小弟是以指令加肉眼判斷:
dir d:\ /p /s /arsh
不過, 小弟建議多嘗試其他指令組合, 以免掛一漏萬
dir d:\ /p /s /as
dir d:\ /p /s /ah
小弟研判病毒應該會藏匿於每個磁碟分割的根目錄, %SystemRoot% 和%SystemRoot%\system32, 坦白說, 原先的目標只是100K~110K 之間的檔案, 若不是病毒作者自作聰明, 將檔案屬性改成唯讀加系統加隱藏, 否則小弟還真不可能發現system32 之下的上千個動態連結檔之中竟然藏有病毒, 應該是執行檔假借動態連結檔副檔名, 有興趣者可掃描附件看看, KAV7 & AntiVir Premium 可成功辨識

此外, 小弟建議直接清除目標磁碟機的%Temp% 資料夾, 重新啟動之後, 立刻清除Temporary Internet files 和資源回收筒, 更新病毒碼, 再回到安全模式徹底掃描一遍



pentacle
2009-05-14, 08:52 PM
請幫小弟掃一下可疑病毒檔案, 已將exe 副檔名改為ex 再壓縮, KAV7, AntiVir Premium 和PC-cillin 2007 沒發現, 檔案建立於USB 隨身碟的根目錄, 但似乎不會建立Autorun.inf

小弟手邊還有幾個不同的樣本, 很像是變種, 檔案大小大約105xxx, 106xxx, 107xxx, KAV7 掃不到, 結果是以PC-cillin 2007 清除, 但沒掃乾淨

更新: 上傳到VirusTotal, 有16/40 掃毒程式辨識出木馬

MD5: CA8750E643C25C104CD2C6BA4CA4E900
Not a Effective PE File, one section will overlay the next section.

包内的文件有问题..
quell
2009-05-15, 01:28 AM
怪~這隻會生出一隻cc.exe,怎麼threatexpert沒偵測到?
FYI
2009-05-15, 02:03 AM
包内的文件有问题..
請勿用續傳軟體, PCZONE 空間常有的事, 所以壓縮打包, 解壓就會察覺文件是否正確
pentacle
2009-05-15, 09:37 AM
請勿用續傳軟體, PCZONE 空間常有的事, 所以壓縮打包, 解壓就會察覺文件是否正確
你的压缩包没有问题
但是你提取的文件有问题
或许,这个Trj在做免杀的时候就没有做好
FYI
2009-05-16, 09:50 PM
由於大毒窟在別人家, 所以小弟得預先想好方法幫對方掃毒, 首先得設法進入安全模式, 由於啟動Windows 之前按 F8 的時機不好抓, 又有可能觸發BIOS 啟動選單, 所以先以TeamViewer 遠端遙控修改boot.ini:
控制台->系統->進階->啟動及修復->設定->系統啟動->編輯
複製最後一行並修改 (不太重要, 僅供參考):
multi(0)disk(0)rdisk(0)partition(1)\windows="Windows XP Safe Mode" /noexecute=optin /fastdetect /noguiboot /safeboot:minimal
刪除暫存資料夾:
del /F /S /Q %Temp%
前面介紹過尋找病毒的特徵 - 唯獨系統隱藏, 首先檢查系統碟:
dir /p /s /arsh %SystemDrive%\
如果找到可疑檔案, 就先紀錄起來, 等進入安全模式再重新命名或刪除, 然後安裝免費的卡巴病毒查殺工具AVPTool:
Kaspersky Offers FREE Tools to Scan and Remove Virus » Raymond.CC Blog (http://www.raymond.cc/blog/archives/2008/04/09/kaspersky-offers-free-tool-to-scan-and-remove-virus/)
Boot INI Options Reference - Microsoft TechNet (http://technet.microsoft.com/en-us/sysinternals/bb963892.aspx)
quell
2009-05-16, 10:24 PM
幫他找bootsafe給他進入安全模式,然後安裝江民試用版開啟系統診斷就能找出隱藏文件了~
FYI
2009-05-17, 07:27 AM
閒逛kavo_killer (http://blog.yam.com/changshuwei), EFix (http://reinfors.blogspot.com), Combofix (http://www.combofix.org) 網站時, 突然想到一個問題, 由於三月以後出了幾個副檔名為DLL 的病毒, 而小弟的人工掃描法無法研判病毒是否真正動態連結檔? 或者是否已經註冊至動態連結程式庫服務? 因此此法只能算是暫時之計, 如果將來病毒和系統結合得更根深蒂固, 那麼是否還能在安全模式之下將病毒直接刪除? 是否會導致系統崩潰? 小弟不得而知, 不過小弟倒是知道對於應付一些exe, cmd 等類型的病毒, 除非已經躲進系統還原資料夾, 否則此法還是非常簡單好用, 而且非常迅速

Kaspersky Virus Removal Tool Download (http://downloads5.kaspersky-labs.com/devbuilds/AVPTool/)
FYI
2009-05-19, 04:21 PM
有個小小疑問, 小弟把附件上傳到VirusTotal, 結果回報已經分析過, 就是#1 的a.ex, #2 有報告, 然而此回Kaspersky 7.0.0.125 卻並未發現