作者 主題: W32Romtokbro@mm病毒如何解  (閱讀 10527 次)

0 會員 與 1 訪客 正在閱讀本文。

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
W32Romtokbro@mm病毒如何解
« 於: 2009-02-09 16:24 »
公司的FTP因為客人利用以另存mail檔案的方式傳到公司的FTP來,公司的員工不知道又去開了它,結果FTP所有資料夾裡都有一個重覆資料夾的名稱後面副檔名是.exe的檔案,執行它後會自動開啟檔案總管,後開IE瀏覽器會自動重新開機,用防毒軟體去殺那些毒都在我的D槽裡,沒去刪到C槽的東西,C槽也沒有顯示有感染,但不知為何我防毒軟體刪完毒重開後,進系統桌面的圖示出不來然後就卡在那裡了,請各位先進指教,看是否有好的工具可以殺此類病毒,謝謝。

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #1 於: 2009-02-09 18:07 »
剛好我最近正為了這新玩意在改寫砍毒程式
您所中的是一支完全沒有用到 autorun 的隨身碟病毒....
病毒執行檔本身會使用資料夾的 icon
然後會把原先的資料夾設為隱藏
再將自己的檔名設為與資料夾同名
若成功感染了,還會讓系統無法顯示副檔名

檢查 system32 中任何最近新增的可疑執行檔
在登錄檔中搜尋該檔名,找出可疑的系統服務砍掉
(至少我遇到的那支是以服務的方式存在)

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #2 於: 2009-02-10 00:48 »
剛好我最近正為了這新玩意在改寫砍毒程式
您所中的是一支完全沒有用到 autorun 的隨身碟病毒....
病毒執行檔本身會使用資料夾的 icon
然後會把原先的資料夾設為隱藏
再將自己的檔名設為與資料夾同名
若成功感染了,還會讓系統無法顯示副檔名

檢查 system32 中任何最近新增的可疑執行檔
在登錄檔中搜尋該檔名,找出可疑的系統服務砍掉
(至少我遇到的那支是以服務的方式存在)


大大您好,主機只做FTP用不會新增任何執行檔,感染的方式應該就如同我判斷的那樣,現在用防毒軟體在掃,掃好久好多還沒掃完,
也不知刪不刪得掉,系統已經重灌了,病毒在D槽及E槽都有,每個資料夾裡都含有相同資料夾名稱.exe檔,希望它不會自動無限複製
才好。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #3 於: 2009-02-10 10:02 »
如果可以,請把病毒母檔(如果找得到)與病毒子檔(就是一直產生出來的檔案),丟一份給我...
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #4 於: 2009-02-10 10:27 »
如果可以,請把病毒母檔(如果找得到)與病毒子檔(就是一直產生出來的檔案),丟一份給我...

我也很想找出來,但可惜我不是防毒的高手,它也不是感染在系統碟裡,真不知要從何找起,不知大大
有何高見?謝謝。

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #5 於: 2009-02-10 10:44 »
公司的FTP因為客人利用以另存mail檔案的方式傳到公司的FTP來,公司的員工不知道又去開了它
「病毒母檔」,你已經知道兇手是誰了,不是嘛?

結果FTP所有資料夾裡都有一個重覆資料夾的名稱後面副檔名是.exe的檔案
「病毒子檔」,你已經知道兇手犯案跡象是怎樣了,不是嘛?





那又何來你不曉得病毒檔在哪裡之說??

如果可以,請把病毒母檔(如果找得到)與病毒子檔(就是一直產生出來的檔案),丟一份給我...
我也很想找出來,但可惜我不是防毒的高手,它也不是感染在系統碟裡,真不知要從何找起,不知大大有何高見?謝謝。
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #6 於: 2009-02-10 11:05 »
日京三子大大,母檔我想應該是我判斷錯誤,因為另一台電腦也莫名奇妙的中了,子檔複製不出來存取被拒=.=

日京三子

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 8830
    • 檢視個人資料
    • http://www.24online.cjb.net
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #7 於: 2009-02-10 11:13 »
日京三子大大,母檔我想應該是我判斷錯誤,因為另一台電腦也莫名奇妙的中了,子檔複製不出來存取被拒=.=
安全模式,或者把硬碟拿去別台電腦掛載與複製,總可以吧?
哈克不愛的多合一輸入平台----->新香草口味
過去的時間不斷流逝,抹去的眼淚已成追憶;
乾枯的雙手無力阻止,再會了我遠去的曾經。

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #8 於: 2009-02-10 11:36 »
日京三子大大,母檔我想應該是我判斷錯誤,因為另一台電腦也莫名奇妙的中了,子檔複製不出來存取被拒=.=
安全模式,或者把硬碟拿去別台電腦掛載與複製,總可以吧?

我儘量找個時間copy出來,目前這台FTP有很多人在存取及傳檔。

Yamaka

  • 俺是博士!
  • *****
  • 文章數: 4913
    • 檢視個人資料
    • http://www.ecmagic.com
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #9 於: 2009-02-10 11:40 »
日京三子大大,母檔我想應該是我判斷錯誤,因為另一台電腦也莫名奇妙的中了,子檔複製不出來存取被拒=.=
安全模式,或者把硬碟拿去別台電腦掛載與複製,總可以吧?

我儘量找個時間copy出來,目前這台FTP有很多人在存取及傳檔

這樣不會使病情更糟糕嗎!?   :o ::)

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #10 於: 2009-02-10 11:44 »
日京三子大大,母檔我想應該是我判斷錯誤,因為另一台電腦也莫名奇妙的中了,子檔複製不出來存取被拒=.=
安全模式,或者把硬碟拿去別台電腦掛載與複製,總可以吧?

我儘量找個時間copy出來,目前這台FTP有很多人在存取及傳檔

這樣不會使病情更糟糕嗎!?   :o ::)

但讓客人不能傳檔,美工不能丟件,等於公司沒賺錢,損失可能會比較少一點,
邊掃毒邊觀察囉=.=順便看這支病毒還有什麼特徵

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #11 於: 2009-02-10 18:32 »
但讓客人不能傳檔,美工不能丟件,等於公司沒賺錢,損失可能會比較少一點,
邊掃毒邊觀察囉=.=順便看這支病毒還有什麼特徵
呃....那些 .exe 該不會還留在 FTP 上吧?

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #12 於: 2009-02-10 20:35 »
但讓客人不能傳檔,美工不能丟件,等於公司沒賺錢,損失可能會比較少一點,
邊掃毒邊觀察囉=.=順便看這支病毒還有什麼特徵
呃....那些 .exe 該不會還留在 FTP 上吧?


是的,不知大大是否有好的建議,小弟洗眼恭看,但前提是我不能停機太久,謝謝。

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #13 於: 2009-02-10 21:00 »
是的,不知大大是否有好的建議,小弟洗眼恭看,但前提是我不能停機太久,謝謝。

凌晨加班?
冷笑話: 我的 IP 是 127.0.0.1

darkranger

  • 榮譽學長
  • 俺是博士!
  • *****
  • 文章數: 1370
    • 檢視個人資料
    • http://darkranger.no-ip.org
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #14 於: 2009-02-10 21:55 »
呃....那些 .exe 該不會還留在 FTP 上吧?
是的,不知大大是否有好的建議,小弟洗眼恭看,但前提是我不能停機太久,謝謝。
當然是趕快砍掉啊....(留一份 copy 給三子)

chung1206

  • 活潑的大學生
  • ***
  • 文章數: 220
  • 性別: 男
    • 檢視個人資料
回覆: W32Romtokbro@mm病毒如何解
« 回覆 #15 於: 2009-02-10 22:46 »
呃....那些 .exe 該不會還留在 FTP 上吧?
是的,不知大大是否有好的建議,小弟洗眼恭看,但前提是我不能停機太久,謝謝。
當然是趕快砍掉啊....(留一份 copy 給三子)

darkranger大大,一直都有在砍,另一台FTP資料較少已經殺光了,剩一台殺二天殺不完,看明天殺不殺得完,謝謝。