RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [討論] [問題]新病毒通知   字型大小:||| 
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7404
 . 失蹤: 45
#1 : 2007-7-5 02:12 AM     全部回覆 引言回覆

目前出現一種病毒 藉由網頁中傳遞 且相當難以清除
病毒主檔名 cgiacgi.dll 位於system32下
附屬執行檔案 tr??????? 位於 system32\drivers
且自動下載其他木馬病毒於system32下
目前測試已知
會變更登陸檔中權限資料 感染系統中正在運行的exe檔
主要存在於 ie 中的附屬程式中 一上網自動執行 或是桌面啟動 active desktop功能者
外掛於winlogon.exe 中 簡單來說就是開機即無法刪除病毒檔案
土法刪除法
winlogon是系統啟動主程式之一 要消除附載於開機中請刪除登陸檔中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
下的啟動程式 (不要刪錯 系統會死掉)  注意病毒會變更權限 記得按右鍵將權限變更
另外意外掛其他木馬程式於其中 也請謹慎刪除
利用搜尋方式尋找cgiacgi.dll 或 位於drivers中的tr???????
全部移除
使用工具可以採用autoruns工具(微軟出品) 先刪除沒有廠商名稱軟體或是執行程式 (誤殺依然容易造成系統癱瘓)
當無法刪除時 在試試看使用regedit.exe手動搜尋刪除
安裝 unlockers
重新開機
進入安全模式中
依舊利用reg搜尋 清除登陸程式中不該存在的啟動程式
在進入system32中利用unlocker 移除可疑程式 (可以不使用這套工作的人 請說明一下移除方式)
重新開機
一般模式
此時系統中應該還有我沒發現的登陸程式 如果有裝nod32的 應該會發現cgiacgi.dll進行對exe感染
再次利用unlocker刪除 system32 及 system32\drivers\的病毒副本 (應該都是 病毒名稱.bak)
再重新開機
進安全模式
檢查病毒檔名 此時應該就可以利用一般刪除移除 不過建議還是使用unlocker或是進入dos模式下 利用指令移除

7/5
symantec 無法判別
nod32 可攔截 無法移除
病毒檢測
system32\drivers\mjnupvvh.sys        Win32/Delf.NFO 外掛病毒檔
SYSTEM32\CGIACGI.DLL        Win32/Delf.NFR 主病毒
SYSTEM32\cgiacgi.dll.bak        Win32/Delf.NFR 主病毒備檔
其實還有6個是nod32沒有掃出來的
pcc 無法判別 會死當
kb 一樣無法判別

無奈啊..........................
連google跟百度都還沒有此病毒資料

順便求助一下 如何反組譯 exe 及 dll 及 js 檔案   

[mmcatdog 在  2007-7-5 02:16 AM 作了最後編輯]


相關關鍵字: cgiacgi.dll  






[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7404
 . 失蹤: 45
#2 : 2007-7-5 08:03 PM     全部回覆 引言回覆


引用:
wugen寫到:
應該是直接進安全模式執行刪除, 而不是在正常模式刪了一些才進入安全模式.

如果不想用unlocker, 可以用XP光碟開機進入Recovery Mode然後刪除檔案..

可以把病毒送去http://www.virustotal.com/en/indexx.html 掃看看


如果你想要試試看這套病毒 可以傳給你試試看 如果不在正常或是安全模式下 刪除該病毒連結
連登陸檔你都沒有辦法變更 更不用說是移除病毒 至於使用Recovery Mode抱歉我不會用
但如果是使用其他台電腦的話 是可以正常移除 這點我確定 但我說過沒有防毒軟體可以移除這套
病毒的登陸檔變更 系統資料連結下載 等問題 我個人是不會哪其他電腦作為移除之用
所以請說明Recovery Mode如何使用 或相關網站 只要有助於我了解 都可以
至於你要在安全或是正常模式下 都可以試試看 但我確定單純於安全模式下無法正常移除
不然unlocker我認為已經夠用了
至於病毒檔已經寄過去給個個病毒公司 已知nod32早有病毒檔 只是無法阻止其感染

該網站http://www.virustotal.com/en/indexx.html並沒有提供相關病毒資料 只是單純傳送病毒檔檢查吧 希望能提供相關病毒資料 或是 有關於詳細登陸檔權限變更(微軟的我不太懂 又說會影響系統)

[mmcatdog 在  2007-7-5 08:08 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7404
 . 失蹤: 45
#3 : 2007-7-10 08:30 PM     全部回覆 引言回覆

使用windows的修復工具 可在dos環境下移除 但是依舊無法完全清除在登陸檔中
的對外連結 導致此病毒一旦上網又再生 dos下有提供編輯登陸檔的程式嗎



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-27 02:37 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.022957 second(s), 7 queries , Qzip disabled