客戶反應出貨兩個月後, 系統執行效能愈來愈差, 甚至出現停滯現象, 把機器退回給我們處理.
以attrib檢視硬碟, 發現C:\與D:\存在 6vu680.exe 與 autorun.inf 兩個異常檔案, 刪除後均會自行出現, 疑似KAVO變種病毒.
檔案總管中無法將顯示所有檔案和資料夾設為有效, 確認為KAVO變種病毒特徵.
以**Avast!**掃毒, 最新程式碼(Feb2009-4.8.1335)與病毒碼(090208-1)皆無法偵測並掃除該病毒.
以kavo_killer38掃毒, 亦無法偵測並掃除該病毒.
尋找6vu680.exe在網路上的相關資訊, 發現該程式為URET463.EXE所衍生出來的病毒程式.
URET463.EXE 是在2009/01/13於西班牙首次發現, 台灣則是在2009/01/31發現.
以CSI掃毒程式, 檢測出以下相關資訊
a. Windows機碼中會在 \USERS\S-1-5-21-xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run寫入kacsde.exe與uret463.exe等兩個執行檔常駐在記憶體中.
b. kacsde.exe與uret463.exe這兩個執行檔會出現在 \Windows\System32\的目錄下.
c. 同時出現的動態執行檔為 godert1.dll, lhgjyit0.dll, lhgjyit1.dll. 也是出現在
\Windows\System32\的目錄下.
d. 硬碟與USB隨身碟會在根目錄出現 6vu680.exe與autorun.ini這兩個檔案.
解決方式
a. 重開機進入Windows安全模式, 執行Regedit將\HKEY_USERS\S-1-5-21-
xxxxxx\Software\Microsoft\Windows\CurrentVersion\Run機碼內的kacsde.exe與uret463.exe刪除.
b. 將以下dos command寫入批次檔中執行
attrib -s -h -r c:\windows\system32\uret463.exe
del c:\windows\system32\uret463.exe
attrib -s -h -r c:\windows\system32\kacsde.exe
del c:\windows\system32\kacsde.exe
attrib -s -h -r c:\windows\system32\godert1.dll
del c:\windows\system32\godert1.dll
attrib -s -h -r c:\windows\system32\lhgjyit0.dll
del c:\windows\system32\lhgjyit0.dll
attrib -s -h -r c:\windows\system32\lhgjyit1.dll
del c:\windows\system32\lhgjyit1.dll
attrib -s -h -r c:\6vu680.exe
del c:\6vu680.exe
attrib -s -h -r d:\6vu680.exe
del d:\6vu680.exe
c. 將
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1, 並確認類型為RED_DWORD, 非REG_SZ
重開機之後, 終於正常了.
帶著工程師兩個花了半天的時間終於把問題解了, 只是機器中毒跟賣機器的有什麼關係呀!
帶著工程師兩個花了半天的時間終於把問題解了, 只是機器中毒跟賣機器的有什麼關係呀
好問題!!
因為你增加了客戶的對你信任感
因為你讓 IT邦友們看到了一個在 10 天前才在台灣【新誕生】的病毒
只是機器中毒跟賣機器的有什麼關係呀.... 這看的出客戶對你很信任你唷~!
感謝抬愛......
還有也會在C:/WINDOWS/Help/EB6C4499B05F.exe ㄑ====生成這類型的病毒執行程式
現在的隨身碟病毒真的是滿街都是
只能碰到一個就幫解一個
還要順便幫人建立預防的autorun.inf目錄
久不見文化搖籃
果然一出手就是有料分享
「帶著工程師兩個花了半天的時間終於把問題解了, 只是機器中毒跟賣機器的有什麼關係呀」
客戶:付尾款之前,什麼都是你的問題
乙方:收尾款之後,什麼都不要找我(除非簽維護約)
一般使用者只會看問題表面的現象來反映問題, 照您所說的現象如果只有系統變慢, 沒有其他異常, 一般使用者一定會找賣機器的, 就算使用者先找了軟體廠商, 他們也一定會賴給賣機器的, 所以, 鐵大您就認命吧, 誰叫您那麼強, 客戶的啥鬼問題您都能解, 客戶當然找您呀, 如果您擺爛幾次, 相信客戶就不會再找您了, 不過這可是拿您的前途當賭注, 不可輕易為之, 總之, 您還是能者多勞吧.
那也奇怪 既然是裝機 您客戶 本身IT應該針對該 sever 上防毒以及完整 hot fix做保護阿?? 可見您客戶的IT應該是有用自己外接設備 不知存取甚麼 不可告人資料 才造成的吧! 最好建議您客戶封鎖 用戶端所有USB 禁用 當然有權限者 就要再教育啦! 當然也要婉轉的教育您的客戶本身拉!
這個機器是經銷商再賣給客戶的, 搬回我們家之前發生了什麼事也沒人曉得.
就只能死馬當活馬醫.
結論是滿手"過期"證照也不是好事, 最大的錯誤就是考了一張TCSE, 結果所有病毒問題都推到我身上來了.
那服務不錯ㄚ 要不要 自薦 是哪一家 下次採購考慮用您們家的 有您的"超高級任勞任怨服務 " 水準 機器保修一定OK 哈哈 至少比 H* 原場好 哈哈
所以我都不考證照的XDD
To 小狐狸
"吾不試 故藝" 共勉之.
To LjL
我們家是賣白牌伺服器的, 跟Hx, Ixx, Dxxx沒有關係.
鐵大
沒考證照不代表沒有證照上的實力,只是看公司有沒有需要或是規定而已(不想花錢,考上了也沒加薪)
能者多勞嘛,客戶解決不了的問題當然只好找高人求救嘍~
建安二十四年, 蜀中已無年輕有為的將領, 不然怎麼會把快七十的黃忠拉去打定軍山斬夏侯淵.
小朋友們不認真學習成長是只能當炮灰的.
iThome鐵人賽
看影片追技術