作者 主題: 我們公司有人中了 Possible_Infostl 病毒 ,請問如何解這個病毒  (閱讀 4843 次)

0 會員 與 1 訪客 正在閱讀本文。

kiolio1982

  • 懷疑的國中生
  • **
  • 文章數: 49
    • 檢視個人資料
病毒警訊!
在 Skymedi 網域中,於 SKY00039(peteryang) 偵測到 Possible_Infostl 病毒
中毒檔案:C:\WINDOWS\SYSTEM32\PDLL.DLL
偵測日期:2007/4/9 14:15:05
處理行動:成功發現病毒,無法清除。 (隔離)


我們公司用的是 Office scan ~

掃到這個病毒~ 上趨勢的網站看

答案就是無解~   Orz  有那個大大可以幫小弟我的忙一下,感恩不盡
=============================================
描述:


This is the Trend Micro detection for suspicious files that manifest behavior and characteristics similar to known variants of the following spyware:

TSPY_LEGMIR
TSPY_LINEAGE
TSPY_QQPASS
If your Trend Micro product detects a file under this detection name, do not execute the file, or delete it immediately especially if it came from an untrusted or an unknown source (e.g., a Web site of doubtful nature). However, if you have reason to believe that the detected file is non-malicious, you can submit a sample for analysis. Detailed analysis will be done on submitted samples, and corresponding removal instructions will be provided, if necessary.

To submit files, please refer to the Solution section.


========================================
解決方案:
Note: If your Trend Micro product detects a file under this detection name, do not execute the file, or delete it immediately especially if it came from an untrusted or an unknown source (e.g., a Web site of doubtful nature). However, if you have reason to believe that the detected file is non-malicious, you can submit a sample for analysis. Detailed analysis will be done on submitted samples, and corresponding removal instructions will be provided, if necessary.

Submitting Samples

Sample files for submission must be in ZIP format and should be password-protected. To submit a ZIP file, file compression software such as Winzip must be used. A trial version of Winzip is available at www.winzip.com.

To compress a file, please follow the steps below:

Right-click on the file and select Add to Zip.
Enter a file name for the zip file.
On the Options menu, choose Encrpyt. In the input box, type virus. This serves as the password for the zip file.
Send the sample through the following channels:


For Trend Micro Premium customers, please submit a virus support case by clicking here:
https://premium.trendmicro.com/premiumsupport/
en/US/PSP/logon/logon.asp

For Trend Micro non-Premium customers, please contact your local support network here:
http://www.trendmicro.com/en/about/contact/overview.htm

For non-Trend Micro customers, please submit a virus support case by clicking here:
http://subwiz.trendmicro.com/SubWiz/Default.asp

hoyo

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 4052
  • 性別: 男
  • 有需要的時候,學習就不會分階段。
    • 檢視個人資料
    • 樂咖黑電腦學習網
撐把小紅傘,如果覺得好用就改撐小藍傘吧 ^^

那個 P 開頭和 N 開頭的在目前的『病毒考驗』中,都中鏢下馬了...
受人與魚,不如授人與漁
上海自來水來自海上;倫敦好奇人奇好敦倫

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
到這個網站,將病毒檔案上傳掃描看看:

http://www.virustotal.com/en/indexf.html

他會告訴你,甚麼軟體能找出病毒。
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

kiolio1982

  • 懷疑的國中生
  • **
  • 文章數: 49
    • 檢視個人資料
Orz   找了好久的病毒解~   連趨勢網站都找不到答案的說

Msconfig 沒用~  系統還原也解不掉

 

案例:

 

病毒警訊!

在 Skymedi 網域中,於 SKY00039(peteryang) 偵測到 Possible_Infostl 病毒

中毒檔案:C:\WINDOWS\system32\PDLL.dll

偵測日期:2007/4/9 16:13:06

處理行動:成功發現病毒,無法清除。 (無法隔離)

 

 

 

解決方法~  

只做了這兩個部驟就差不多刪除這個病毒了

 

1. 用強力刪除檔案的軟體  (費洛特木馬清除軟體)  將 PDLL.dll 檔案給刪除

Ps: 在刪除該檔案之前, kio 有看過自已的 PC 並沒有 PDLL.dll 該檔案, 才敢刪除這檔案

 

2. 並且移除  ■ 登錄檔中Windows 開機後自動載入的程式設定
HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>CurrentVersion>Winlogon
正確值為 Userinit C:\windows\System32\userinit.exe, (含逗點)病毒會在後面加上它的病毒程式位置及檔名

 

參考文件:

解 pdll.dll 的方法給大家參考一下,這兩天查到的,改登錄檔才能解決。
這些東西都偽裝成和系統檔相同的檔名,只是位置不一樣,最好笑的是 rundl132.exe,注意是一百卅二哦!真正的本尊叫做rundll32.exe。


■ 病毒常偽裝的系統檔案的真實位置,不可刪除! 若在別的位置(c:\i386以外)看到這幾個檔案,極有可能是病毒檔。
. c:\windows\explorer.exe
. c:\windows\system32\svchost.exe
. c:\windows\system32\rundll32.exe

■ 登錄檔中Windows 開機後自動載入的程式設定
HKEY_LOCAL_MACHINE>Software>Microsoft>WindowsNT>CurrentVersion>Winlogon
正確值為 Userinit C:\windows\System32\userinit.exe, (含逗點)病毒會在後面加上它的病毒程式位置及檔名

■ PDLL.DLL (偷線上遊戲的帳號密碼)

基本上入侵您的電腦有個途徑SPY,搜尋一下電腦中這些檔案看位置對不對!
1.svchost.exe ----> 位於c:windows下
2.rundll32.exe----->位於c:windows下 (注意是 rundl一百卅二.exe)
3.explorer.exe----->位於c:windows\system32下
4.pdll.dll--------->位於c:windows\system32下

解毒:用regedit改掉開機自動載入的程式,它會在C:\windows\System32\userinit.exe, 後面加上一堆東西,再刪除病毒檔,若pdll.dll刪不掉要先停止躲在系統中的 svchost.exe (有好個svchost,只有一個是假的),用Alt-Ctrl-Del叫出工作管理員。

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
對於利用相同名稱不同目錄的偽裝程式, 然而使用TASKMGR是無法觀看執行
程式的路徑, 必需使用第3方程式或是系統資訊來看.
小弟自己寫了一個WHS, 可以查看遠端電腦或本機的執行中程式與完整路徑.

代碼: [選擇]

strComputer = inputbox("輸入電腦名稱或IP:")
Set objWMIService = GetObject("winmgmts:" _
    & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colProcesses = objWMIService.ExecQuery ("SELECT * FROM Win32_Process")

Set objShell=WScript.CreateObject("WScript.Shell")
DesktopPath = objShell.SpecialFolders("Desktop")
TxtFileName = DesktopPath & "\執行中的程式.txt"
Set fso = CreateObject("Scripting.FileSystemObject")
Set TxtFile = fso.CreateTextFile(TxtFileName, True)
For Each objProcess In colProcesses
TxtFile.WriteLine(objProcess.Name & vbtab & objProcess.ExecutablePath)
Next
TxtFile.Close


執行完畢後會在桌面放置一個文字檔. 給大家參考看看.

buja

  • 可愛的小學生
  • *
  • 文章數: 14
    • 檢視個人資料
小弟公司的電腦使用者也常出現這個毒.....小弟的解毒過程如下:
1.開啟工作管理員把svchost.exe結束掉(重點在於使用者名稱為登入者名稱的才是有問題的其他的是系統的檔案)
2.進入到C:\Program Files\Windows Media Player底下你會發現剛剛結束的那個檔案也就是svchost.exe把它刪除
3.在進入到PDLL.DLL檔的所在地刪除它......
4.在開始---執行那邊輸入regedit進入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon底下的Userinit中的數值只保留C:\WINDOWS\system32\userinit.exe,即可(注意最後面的逗號一定要留著喔)

基本上這樣子就可以清除掉這個病毒了~~~~

另小弟的作法是在清除病毒完畢之後在原始的PDLL.DLL的發現位置中再新增一個一模一樣的檔案然後設定為唯讀........這樣的設定對小弟挺有用處的~至少該使用者就沒中過第二次了....給大家參考看看^^