[心得] 週六晚上與木馬「Wintems」(SROSA/W32.Beagle.GM)奮戰...

@ 2008-2-24 01:19 AM



最近我的差批經常出現藍白畫面,偏偏硬體檢查過又沒事
(我竟然先檢查硬體,真是昏倒)
然後發現隨身碟插進USB都變成「未格式化」
今天傍晚發現:咦?我的防毒軟體呢?

經驗告訴我是被病毒給關掉了
打開工作管理員,發現一個不認識的 process:「wintems.exe」
而且 Kill 不掉,幹...

Google 一下,原來這隻是德國人寫的
會註冊RootKit原件以服務方式來隱藏自己
讓你在工作管理員看得到卻抓不到檔案在哪
而且會 Disable 許多知名防毒軟體,甚至複製後取而代之 偽裝成防毒軟體
會改登錄表讓開機讀自己或去讀已被感染的防毒程式
一旦發現防毒軟體關鍵字的程式,立刻殺掉取而代之並在登錄表中寫入開機啟動連結

網友有利用 RegRun 試用版,在開機時一步一步擋住
%System%\drivers\hidr.exe (或hidrrr.exe)
%System%\drivers\srosa.sys
這兩個該死的檔案
多開機幾次就可以殺得掉

不過大部分人的情況是殺完又會出現
這時必須考慮到舊的防毒軟體目錄那邊是不是還遺留著偽裝的病毒及其DLL檔案
如果有要一起殺掉

偏偏那個 RegRun 我不小心按錯 誤刪了我的 dmadmin.exe (邏輯磁碟管理服務)
結果本來是重開機時要刪掉的病毒
當時的磁碟機代號就變成無法辨識
變成這隻必須在開機時殺的病毒,我就怎麼都沒辦法用 RegRun 殺掉

我只好利用 WinPE 進去
利用 Regedit 去刪一些 %system%\driver 以及登錄裡面的東西
刪完好像乾淨了
可是回到 XP,第一次開機沒事,第二次開機還是一樣又出現
幹.....

偏偏防毒軟體這時又裝不上去,開安全模式又會當機
幹XX....

最後我是利用 WinPE 開機,仔細把所有相關的都刪乾淨,包括RootKit服務:「Megadrv3」
重開機後
確定工作管理員裡面沒有任何不熟悉的 process 以後
馬上又檢查過一次登錄與相關目錄沒有任何異狀
然後把舊的防毒軟體目錄殺掉,殺不掉的用unlocker刪掉
重開機...

終於,這鬼木馬終於給我殺掉了!這王八羔子,幹!
趕快灌回新版防毒軟體...
搞了四個多鐘頭,真他母親的累...

這兩邊網頁有幫助
http://www.eranger.com.tw/virus.php?v_id=615
http://www.cgs.tw/nucleus/blog/1/item/2307

10 評論

辛苦了
最近身邊的朋友也是狂中毒(還好都是小毒)
自己中毒不打緊,現在的病毒又很聰明
不管是透過郵件還是即時通訊軟體都能傳送
弄得好像現在幾乎只要上網,一個不小心就會中毒
所以後來幫朋友解完毒以後,還得順便教導一下他們網路安全的觀念

發佈者 : iamnew 等級: 11等級: 11等級: 11等級: 11  @ 2008-2-24 02:39 AM

很精采的奮鬥史...

感謝苦主提供的兩個網站,受益無窮啊...

發佈者 : Basuya 等級: 8等級: 8  @ 2008-2-25 02:47 PM

autoruns + Process Explorer 應該可以擊敗大多數非感染型病毒

發佈者 : wugen 等級: 12等級: 12等級: 12  @ 2008-2-25 05:17 PM

我每次電腦遇到怪狀
最快的方法就是

1.備份桌面程式,及我的文件到另一個磁碟機
2.丟入Autoxp或fastxp重灌C槽
3.裝防毒軟體
4.掃之前備份的那些檔案


一切OK~~~

發佈者 : ROACH 等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30  @ 2008-2-26 03:32 PM

中了病毒跟木馬真的很煩人
偏偏自己又不是很懂
所以只要防毒軟體砍不掉
就得把電腦重灌了

發佈者 : jason989 等級: 21等級: 21等級: 21等級: 21等級: 21等級: 21  @ 2008-2-26 04:56 PM

我前日也與大大一模一樣的遭遇:Wintems.exe!!!

搞了近兩個小時仍摸不著頭緒後,最後決定繳械:
付了14美金購買同是德國人的Prevx CSI掃毒服務,而病毒也果真立即清除乾淨!

幹!真懷疑這病毒是他們自己釋出的!

發佈者 : winxp 等級: 1  @ 2008-2-26 11:38 PM

很受用的一個經驗唷
多學了一些
下次遇到可以解決摟

發佈者 : porsche3310 等級: 8等級: 8  @ 2008-3-1 12:28 AM

你的經驗分享必造福各版友

發佈者 : 十三十三 等級: 5等級: 5  @ 2008-4-9 12:13 AM

Backup your System every month.
This is the only way to make your OS live forever.
The last time I fought with Virus was 4 years ago...
It tooks me 3 days to reinstall OS and the softwares I need.

[KAILEE 在  2008-4-8 02:33 PM 作了最後編輯]

發佈者 : KAILEE 等級: 13等級: 13等級: 13等級: 13  @ 2008-4-9 05:14 AM

同樓上使用autoruns但是用冰劍 + unlocker

發佈者 : mmcatdog 等級: 14等級: 14等級: 14等級: 14  @ 2008-4-9 11:29 AM

   


  可打印版本 | 推薦給朋友 | 評分