TWed2k - 軟體求助討論區 - [問題]新病毒通知

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7255 天
．失蹤： 156 天

#1 : 2007-7-5 02:12 AM 只看本作者	送花 (6) 送出中...

目前出現一種病毒藉由網頁中傳遞且相當難以清除
病毒主檔名 cgiacgi.dll 位於system32下
附屬執行檔案 tr??????? 位於 system32\drivers
且自動下載其他木馬病毒於system32下
目前測試已知
會變更登陸檔中權限資料感染系統中正在運行的exe檔
主要存在於 ie 中的附屬程式中一上網自動執行或是桌面啟動 active desktop功能者
外掛於winlogon.exe 中簡單來說就是開機即無法刪除病毒檔案
土法刪除法
winlogon是系統啟動主程式之一要消除附載於開機中請刪除登陸檔中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
下的啟動程式 (不要刪錯系統會死掉

) 注意病毒會變更權限記得按右鍵將權限變更
另外意外掛其他木馬程式於其中也請謹慎刪除
利用搜尋方式尋找cgiacgi.dll 或位於drivers中的tr???????
全部移除
使用工具可以採用autoruns工具(微軟出品) 先刪除沒有廠商名稱軟體或是執行程式 (誤殺依然容易造成系統癱瘓)
當無法刪除時在試試看使用regedit.exe手動搜尋刪除
安裝 unlockers
重新開機
進入安全模式中
依舊利用reg搜尋清除登陸程式中不該存在的啟動程式
在進入system32中利用unlocker 移除可疑程式 (可以不使用這套工作的人請說明一下移除方式)
重新開機
一般模式
此時系統中應該還有我沒發現的登陸程式如果有裝nod32的應該會發現cgiacgi.dll進行對exe感染
再次利用unlocker刪除 system32 及 system32\drivers\的病毒副本 (應該都是病毒名稱.bak)
再重新開機
進安全模式
檢查病毒檔名此時應該就可以利用一般刪除移除不過建議還是使用unlocker或是進入dos模式下利用指令移除

7/5
symantec 無法判別
nod32 可攔截無法移除
病毒檢測
system32\drivers\mjnupvvh.sys Win32/Delf.NFO 外掛病毒檔
SYSTEM32\CGIACGI.DLL Win32/Delf.NFR 主病毒
SYSTEM32\cgiacgi.dll.bak Win32/Delf.NFR 主病毒備檔
其實還有6個是nod32沒有掃出來的
pcc 無法判別會死當
kb 一樣無法判別

無奈啊..........................

連google跟百度都還沒有此病毒資料

順便求助一下如何反組譯 exe 及 dll 及 js 檔案

[mmcatdog 在 2007-7-5 02:16 AM 作了最後編輯]

相關關鍵字: cgiacgi.dll

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

wugen
銀驢友〔初級〕

今日心情

．積分： 491
．文章： 1953
．收花： 3888 支
．送花： 1977 支
．比例： 0.51
．在線： 1763 小時
．瀏覽： 17110 頁
．註冊： 6705 天
．失蹤： 4068 天

#2 : 2007-7-5 06:57 PM 只看本作者	送花 (3) 送出中...

應該是直接進安全模式執行刪除, 而不是在正常模式刪了一些才進入安全模式.

如果不想用unlocker, 可以用XP光碟開機進入Recovery Mode然後刪除檔案..

可以把病毒送去http://www.virustotal.com/en/indexx.html 掃看看

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7255 天
．失蹤： 156 天

#3 : 2007-7-5 08:03 PM 只看本作者	送花 (3) 送出中...

引用:

wugen寫到:

應該是直接進安全模式執行刪除, 而不是在正常模式刪了一些才進入安全模式.

如果不想用unlocker, 可以用XP光碟開機進入Recovery Mode然後刪除檔案..

可以把病毒送去http://www.virustotal.com/en/indexx.html 掃看看

如果你想要試試看這套病毒可以傳給你試試看如果不在正常或是安全模式下刪除該病毒連結
連登陸檔你都沒有辦法變更更不用說是移除病毒至於使用Recovery Mode抱歉我不會用
但如果是使用其他台電腦的話是可以正常移除這點我確定但我說過沒有防毒軟體可以移除這套
病毒的登陸檔變更系統資料連結下載等問題我個人是不會哪其他電腦作為移除之用
所以請說明Recovery Mode如何使用或相關網站只要有助於我了解都可以
至於你要在安全或是正常模式下都可以試試看但我確定單純於安全模式下無法正常移除
不然unlocker我認為已經夠用了
至於病毒檔已經寄過去給個個病毒公司已知nod32早有病毒檔只是無法阻止其感染

該網站http://www.virustotal.com/en/indexx.html並沒有提供相關病毒資料只是單純傳送病毒檔檢查吧希望能提供相關病毒資料或是有關於詳細登陸檔權限變更(微軟的我不太懂又說會影響系統)

[mmcatdog 在 2007-7-5 08:08 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

wugen
銀驢友〔初級〕

今日心情

．積分： 491
．文章： 1953
．收花： 3888 支
．送花： 1977 支
．比例： 0.51
．在線： 1763 小時
．瀏覽： 17110 頁
．註冊： 6705 天
．失蹤： 4068 天

#4 : 2007-7-6 08:04 AM 只看本作者	送花 (0) 送出中...

去Virustotal掃毒的用意再於可以知道哪一款防毒軟體能夠偵測到病毒

至於Recovery Mode的使用不難. 由XP光碟開機以後按"R"進入.. 操作就類似CMD/DOS的介面

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7255 天
．失蹤： 156 天

#5 : 2007-7-10 08:30 PM 只看本作者	送花 (0) 送出中...

使用windows的修復工具可在dos環境下移除但是依舊無法完全清除在登陸檔中
的對外連結導致此病毒一旦上網又再生 dos下有提供編輯登陸檔的程式嗎

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

wugen
銀驢友〔初級〕

今日心情

．積分： 491
．文章： 1953
．收花： 3888 支
．送花： 1977 支
．比例： 0.51
．在線： 1763 小時
．瀏覽： 17110 頁
．註冊： 6705 天
．失蹤： 4068 天

#6 : 2007-7-11 09:05 AM 只看本作者	送花 (0) 送出中...

可以試試用console registry tool, REG.EXE

再不行就複製登錄檔到別的電腦上修改

[wugen 在 2007-7-11 09:07 AM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆