關於部落格
說想說的,記想記的;

未完待續。
  • 86158

    累積人氣

  • 0

    今日人氣

    0

    追蹤人氣

ko.exe 002.exe 26.exe sv1.tmp 一種疑似機器狗的變種木馬

上面這些狀況事後列起來還蠻輕鬆的,不過我們可是花了大半天的時間才陸續發現這些狀況,尤其是那個 lpk.dll 檔,是最後解決的關鍵。以下是我們曾經作過的步驟,但不保證順序和每一步均有用,提供參考。


  1. 關閉 XP 的系統還原功能。
  2. 重新開機進入安全模式。
  3. 打開需要瀏覽隱藏檔與所有資料夾,進入 C:Documents and SettingsMY LOGIN NAMELocal SettingsTemporary Intetnet Files 裡將所有資料清除。
  4. 進入 C:Documents and SettingsMY LOGIN NAMELocal SettingsTemp 裡將所有資料清除。
  5. 砍掉 C:Windowssystem32driversetchosts。
  6. 用 attrib -s -h -r  講 C 目錄底下的 preload.AAA 權限拿掉並刪除。
  7. 殺掉 _unXXXXXX.bat 和 tmp.dat 檔。
  8. 放入 Windows XP 光碟,進入 i386 資料夾,解壓縮 taskmgr.ex_, debug.ex_ 和 lpk.dl_;或是能從其他健康的電腦 Copy 亦可,重要的是所有你懷疑可能被竄改過的 exe 或 dll 檔,都可以 Copy 一份過來。
  9. 將懷疑被竄改的 exe 及 dll 檔蓋殺掉有問題的檔案,注意,在 C:Windowssystem32 底下要蓋殺前,先行蓋殺 C:Windowssystem32dllcache 底下的檔,否則 XP 的 DEP (資料執行保護) 會從 dllcache 裡 copy 一份有問題的檔再把你正常的檔再蓋回。
  10. C:Windows 底下的 lpk.dll 不在它原本該有的位置,因為 lpk.dll 相關於 winlogin 等多項系統重要服務,所以在安全模式下也無法砍除。因此我利用 XP 安裝光碟安裝選 R 修復主控台,進去蓋殺。
  11. 重開機兩次 (第一次重開進安全模式執行系統掃瞄,第二次重開進正常 Windows) 。

希望以上步驟可以幫上一些被這個病毒所苦的人。

相簿設定
標籤設定
相簿狀態