標題下的有點誇張,其實都是病發當初我沒認真理會防毒程式,所以
上個週末開始,網頁開啟不完全,甚至要重新整理多次瀏覽器才有回
應,我才認真重視這個問題。

人阿......

瀏覽器這個問題不是第一次發生,但是之前不藥而癒。這次可糟糕了
,你能想像連開Google首頁都要重新整理十來次才有回應,下一頁
可能也要點選好幾次...我想我的指關節會提前報廢吧!

 

一開始是往封包遺失的可能性去想,但經過ping、trace都找不到可
疑之處,而且BBS完全沒影響...Orz,開始往病毒方向去找。

 

大約是從三月開始,小紅傘(Antivir,免費防毒軟體)都會攔截到某些
熟面孔檔案,即使每次都選delete,隔天還是換個名字出現,於是先
查詢防毒程式的Event紀錄。

 

大部分都屬於惡意程式;木馬、蠕蟲(Worm)、後門程式(Hacktool)
為主,戰到後來,連Bot(?)、Autorun(?)這兩種都冒出來,真正是
讓人火大。

 

中間經過進入安全模式掃毒、監控工作管理員的可疑處理程序、上網
搜尋可疑檔名的資料,電腦中毒情況暫時好轉半天....然後冒出更多的
可疑程序!

 

直接講結果吧。一樣是從小紅傘的Event查起,發現每次出現的目錄
夾是固定那幾個:Temp、Temporary Internet Files、System、
System32,說來慚愧,去年秋天重灌後我根本沒整理過暫存檔案,
暫存檔累積很多,就趁這個機會來整頓一下!

 

1.假螢幕保護程式:檔名是XX.scr,XX請任意代入阿拉伯數字,每個
   都是80kb,我進去System目錄的時候,大概有二十來個假裝天真
   SCR檔案排成一列(怒),第一次砍除後又重生。

2.假驅動程式:sysdrv32.sys...,砍除多次後最後消失

3.假應用程式:一開始叫做msmacro32,而且會出現在處理程序中,
   後來它自己改名叫msmacro64,檔案搜尋直接找到它的位置砍除。

4.假文字檔:檔名是x[5].txt,數字5可以任意替換,跟scr一起出現,
   很常被攔截,一進Contient.IE5目錄,原來好幾家族兄弟阿!我把
   整個暫存目錄通通砍除,砍不掉的進安全模式砍。

5.偷天換日:dllcache.exe,作業系統真的有這個程式,但是屢次被
   攔截,看來是被感染,砍除數次後消失。

6.不知道該怎麼辦的:svchost.exe,重要的系統應用程式,但是被
   防毒程式判斷有"嫌疑",目前沒有發作,列為觀察對象。

 

總之光靠防毒程式去判斷攔截,能力有限,找出源頭砍除才能根治,
還有良好的上網習慣也很重要。對了,如果我又好幾天沒發文,大概
就是又中毒了...XD

文章標籤
全站熱搜
創作者介紹
創作者 sleepmage 的頭像
sleepmage

sleepmage的偽機研

sleepmage 發表在 痞客邦 留言(9) 人氣(684)