RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [心得] 週六晚上與木馬「Wintems」(SROSA/W32.Beagle.GM)奮戰...   字型大小:||| 
  本主題被作者加入到他/她的 Blog 中  
Observer
論壇第一龜毛
等級: 21等級: 21等級: 21等級: 21等級: 21等級: 21
藏雲

 . 積分: 4862
 . 精華: 5
 . 文章: 9350
 . 收花: 41867 支
 . 送花: 9848 支
 . 比例: 0.24
 . 在線: 8114 小時
 . 瀏覽: 112100 頁
 . 註冊: 8201
 . 失蹤: 3
 . 單身宿舍
#1 : 2008-2-24 01:19 AM     只看本作者 引言回覆

版主 jazzblue : 原創內容

評分:+1   
最近我的差批經常出現藍白畫面,偏偏硬體檢查過又沒事
(我竟然先檢查硬體,真是昏倒)
然後發現隨身碟插進USB都變成「未格式化」
今天傍晚發現:咦?我的防毒軟體呢?

經驗告訴我是被病毒給關掉了
打開工作管理員,發現一個不認識的 process:「wintems.exe」
而且 Kill 不掉,幹...

Google 一下,原來這隻是德國人寫的
會註冊RootKit原件以服務方式來隱藏自己
讓你在工作管理員看得到卻抓不到檔案在哪
而且會 Disable 許多知名防毒軟體,甚至複製後取而代之 偽裝成防毒軟體
會改登錄表讓開機讀自己或去讀已被感染的防毒程式
一旦發現防毒軟體關鍵字的程式,立刻殺掉取而代之並在登錄表中寫入開機啟動連結

網友有利用 RegRun 試用版,在開機時一步一步擋住
%System%\drivers\hidr.exe (或hidrrr.exe)
%System%\drivers\srosa.sys
這兩個該死的檔案
多開機幾次就可以殺得掉

不過大部分人的情況是殺完又會出現
這時必須考慮到舊的防毒軟體目錄那邊是不是還遺留著偽裝的病毒及其DLL檔案
如果有要一起殺掉

偏偏那個 RegRun 我不小心按錯 誤刪了我的 dmadmin.exe (邏輯磁碟管理服務)
結果本來是重開機時要刪掉的病毒
當時的磁碟機代號就變成無法辨識
變成這隻必須在開機時殺的病毒,我就怎麼都沒辦法用 RegRun 殺掉

我只好利用 WinPE 進去
利用 Regedit 去刪一些 %system%\driver 以及登錄裡面的東西
刪完好像乾淨了
可是回到 XP,第一次開機沒事,第二次開機還是一樣又出現
幹.....

偏偏防毒軟體這時又裝不上去,開安全模式又會當機
幹XX....

最後我是利用 WinPE 開機,仔細把所有相關的都刪乾淨,包括RootKit服務:「Megadrv3」
重開機後
確定工作管理員裡面沒有任何不熟悉的 process 以後
馬上又檢查過一次登錄與相關目錄沒有任何異狀
然後把舊的防毒軟體目錄殺掉,殺不掉的用unlocker刪掉
重開機...

終於,這鬼木馬終於給我殺掉了!這王八羔子,幹!
趕快灌回新版防毒軟體...
搞了四個多鐘頭,真他母親的累...

這兩邊網頁有幫助
http://www.eranger.com.tw/virus.php?v_id=615
http://www.cgs.tw/nucleus/blog/1/item/2307


相關關鍵字: wintems  srosa  Beagle  trojan  Lodear  Lodeight  






[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
iamnew
青銅驢友
等級: 11等級: 11等級: 11等級: 11
嗚~小的咧!

今日心情

 . 積分: 214
 . 文章: 716
 . 收花: 1602 支
 . 送花: 1635 支
 . 比例: 1.02
 . 在線: 2137 小時
 . 瀏覽: 7573 頁
 . 註冊: 8090
 . 失蹤: 0
#2 : 2008-2-24 02:39 AM     只看本作者 引言回覆

辛苦了
最近身邊的朋友也是狂中毒(還好都是小毒)
自己中毒不打緊,現在的病毒又很聰明
不管是透過郵件還是即時通訊軟體都能傳送
弄得好像現在幾乎只要上網,一個不小心就會中毒
所以後來幫朋友解完毒以後,還得順便教導一下他們網路安全的觀念



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Basuya
銅驢友〔初級〕
等級: 8等級: 8
酒薄煙斷,神清氣爽

今日心情

 . 積分: 122
 . 精華: 1
 . 文章: 675
 . 收花: 738 支
 . 送花: 385 支
 . 比例: 0.52
 . 在線: 1368 小時
 . 瀏覽: 1510 頁
 . 註冊: 7322
 . 失蹤: 4663
 . Kaohsiung
#3 : 2008-2-25 02:47 PM     只看本作者 引言回覆

很精采的奮鬥史...

感謝苦主提供的兩個網站,受益無窮啊...



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
wugen
銀驢友〔初級〕
等級: 12等級: 12等級: 12


今日心情

 . 積分: 491
 . 文章: 1953
 . 收花: 3888 支
 . 送花: 1977 支
 . 比例: 0.51
 . 在線: 1763 小時
 . 瀏覽: 17110 頁
 . 註冊: 6861
 . 失蹤: 4224
#4 : 2008-2-25 05:17 PM     只看本作者 引言回覆

autoruns + Process Explorer 應該可以擊敗大多數非感染型病毒


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ROACH
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
減肥中!請勿餵食

十週年紀念徽章(四級)  

 . 積分: 15119
 . 精華: 14
 . 文章: 11767
 . 收花: 140853 支
 . 送花: 6005 支
 . 比例: 0.04
 . 在線: 8870 小時
 . 瀏覽: 85616 頁
 . 註冊: 8223
 . 失蹤: 3
 . 鄉下地方
#5 : 2008-2-26 03:32 PM     只看本作者 引言回覆

我每次電腦遇到怪狀
最快的方法就是

1.備份桌面程式,及我的文件到另一個磁碟機
2.丟入Autoxp或fastxp重灌C槽
3.裝防毒軟體
4.掃之前備份的那些檔案


一切OK~~~



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  訪問主頁  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
jason989
白金驢友〔中級〕
等級: 21等級: 21等級: 21等級: 21等級: 21等級: 21
羅羅亞太保

十週年紀念徽章(二級)  

今日心情

 . 積分: 4894
 . 文章: 8666
 . 收花: 43509 支
 . 送花: 34769 支
 . 比例: 0.8
 . 在線: 4173 小時
 . 瀏覽: 178041 頁
 . 註冊: 7154
 . 失蹤: 530
 . 台灣
#6 : 2008-2-26 04:56 PM     只看本作者 引言回覆

中了病毒跟木馬真的很煩人
偏偏自己又不是很懂
所以只要防毒軟體砍不掉
就得把電腦重灌了



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
winxp
初出茅驢
等級: 1


今日心情

 . 積分: 4
 . 文章: 25
 . 收花: 12 支
 . 送花: 7 支
 . 比例: 0.58
 . 在線: 797 小時
 . 瀏覽: 2021 頁
 . 註冊: 7300
 . 失蹤: 902
#7 : 2008-2-26 11:38 PM     只看本作者 引言回覆

我前日也與大大一模一樣的遭遇:Wintems.exe!!!

搞了近兩個小時仍摸不著頭緒後,最後決定繳械:
付了14美金購買同是德國人的Prevx CSI掃毒服務,而病毒也果真立即清除乾淨!

幹!真懷疑這病毒是他們自己釋出的!



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
porsche3310
銅驢友〔初級〕
等級: 8等級: 8


今日心情

 . 積分: 129
 . 文章: 753
 . 收花: 684 支
 . 送花: 1830 支
 . 比例: 2.68
 . 在線: 1184 小時
 . 瀏覽: 32613 頁
 . 註冊: 7462
 . 失蹤: 865
#8 : 2008-3-1 12:28 AM     只看本作者 引言回覆

很受用的一個經驗唷
多學了一些
下次遇到可以解決摟



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
十三十三
鐵驢友〔中級〕
等級: 5等級: 5


今日心情

 . 積分: 53
 . 文章: 119
 . 收花: 175 支
 . 送花: 1875 支
 . 比例: 10.71
 . 在線: 2140 小時
 . 瀏覽: 25657 頁
 . 註冊: 7147
 . 失蹤: 229
#9 : 2008-4-9 12:13 AM     只看本作者 引言回覆

你的經驗分享必造福各版友


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
KAILEE
銀驢友〔中級〕
等級: 13等級: 13等級: 13等級: 13
~~~~~~~~ DonkeyPunch ~~~~~~~~

 . 積分: 671
 . 文章: 699
 . 收花: 4209 支
 . 送花: 515 支
 . 比例: 0.12
 . 在線: 2802 小時
 . 瀏覽: 201815 頁
 . 註冊: 7428
 . 失蹤: 688
 . Vancouver
#10 : 2008-4-9 05:14 AM     只看本作者 引言回覆

Backup your System every month.
This is the only way to make your OS live forever.
The last time I fought with Virus was 4 years ago...
It tooks me 3 days to reinstall OS and the softwares I need.

[KAILEE 在  2008-4-8 02:33 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7411
 . 失蹤: 53
#11 : 2008-4-9 11:29 AM     只看本作者 引言回覆

同樓上使用autoruns但是用冰劍 + unlocker


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-12-4 04:58 PM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025337 second(s), 7 queries , Qzip disabled