iT邦幫忙

15

Virus ( Downloader / Trojan.patchep! )

  • 分享至 

  • xImage
  •  

症狀 :
1.無法獲得 IP , DHCP Client 這項服務無法自動啟動
2.手動啟動DHCP Cleint 成功後 , 還是會不預期的自動停止 , 需要重新再手動啟動
3.音效失去作用
4.XP下方的工作列會由藍變成灰色
起源 : 安裝某知名公司所寄送給客戶的正版幼教CD
由於上述症狀,系統多個檔案陸續受影響,ex:winlogon.exe , spoolsv.exe , lsass.exe 等,處理方法簡略如下 :
1.將此顆硬碟拆下裝至另一台電腦 , 將受感染的檔案刪除, 從別台電腦Copy蓋過
結果:又會導致C:\windows\system32 下另一個exe檔案又被感染
2.在另一台電腦裝Avast,在系統重開機的模式下,對此顆中毒的檔案進行掃毒,刪除explorer.exe,pagefile.sys及還原_restore目錄下被感染等系統相關檔案
3.結束後,將explorer.exe從乾淨電腦Copy回
4.再將此一硬碟裝回原來電腦進安全模式,執行regedit進行檢測
5.發現莫名二支程序cssrss.exe,restart.exe 在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下
結果:檔案裡並沒有找到這二個檔案,所以直接進行刪除
ps. 檔案尋找前請將"隱藏保護的作業系統檔案"打勾取消,並選取"顯示所有檔案和資料夾"才可以看到很多檔案
6.並透過關鍵字在registry進行搜尋,發現HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List有"Dhcp Client"這項服務被cssrss等程式進行呼叫
結果:刪除這些字串,其它沒有的則保持不動
7.將資源回收桶內進行刪除,重新開機
8.一切回復正常,音效和IP 都順利啟動,正常運作

備註:看來此病毒來勢兇兇,有些功能可能不常使用到,所以沒察覺其服務有受影響,而由賽門鐵克找出的感染檔案根本沒多大作用,電腦一直處於感染中,並不能真的清除,只能奉勸就算來路有名的東西,也是會有病毒的,大家小心


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
0
careychen
iT邦研究生 5 級 ‧ 2009-02-06 16:05:51

這位大哥,麻煩您要不要提示一下是哪家的呀? 好讓其他的邦友知道一下心理有個底

0
vickie
iT邦新手 4 級 ‧ 2009-02-06 17:26:15

ㄜ~說出來會不會影響XXX公司建立起來的多年信譽呢??畢竟我想很多家庭都有訂購這家的產品的,也許只是一時失誤,不小心把病毒燒進CD寄給客戶了~~

0
wooden
iT邦新手 4 級 ‧ 2009-02-06 19:05:55

vickie君,您真仁慈,也讓許多IT有工作做,真是大恩大德!

0
nikwu43
iT邦好手 1 級 ‧ 2009-02-06 21:25:12

是幼教cd丫...
會不會是我女兒看的那個什麼虎的丫...
呵呵呵...

看更多先前的回應...收起先前的回應...
花輪 iT邦大師 1 級 ‧ 2009-02-07 01:52:38 檢舉

還是...巧x 呢?

nikwu43 iT邦好手 1 級 ‧ 2009-02-07 05:40:32 檢舉

這樣打大家不就知道了丫...

ehawk iT邦研究生 1 級 ‧ 2009-02-07 11:12:16 檢舉

不會壓~我還是不知道.

vickie iT邦新手 4 級 ‧ 2009-02-08 10:48:40 檢舉

我寫了三個XXX 給大家填空了,答案大家自己有個底就好了,說下去就傷感情啦:-)

鐵殼心 iT邦高手 1 級 ‧ 2009-02-08 11:04:43 檢舉

該不會是用老鼠當商標的 DxxxxxxxxD那ㄧ家吧?

nikwu43 iT邦好手 1 級 ‧ 2009-02-08 12:23:17 檢舉

這樣也是不行丫...
這二家都是三個字咧...
到底是大隻的還是小隻的丫...

vickie iT邦新手 4 級 ‧ 2009-02-10 13:47:26 檢舉

要說嗎 ?? 還是不要好了,畢竟苦主客戶媽媽己經打電話去客訴了...

我要留言

立即登入留言