每個人內心深處 都有一個不容許侵犯的地方 那個地方就叫秘密花園
最近三總內部很流行這三隻=.=
處理到很無聊就隨便的Po了上來一些相關資訊
TSPY_LINEAGE.BAX 產生檔為viDll.dll 主程式為rundl132.exe 機碼參數為load
TSPY_LINEAGE.BAK 產生檔為PDLL.dll 主程式為svchost32.exe
寫入機碼直接在Run=.=參數fzg
這檔案在C:\WINNT\Config\ 並且會產生一些檔案至Program Files\Internet Explorer\底下
TSPY_LINEAGE.BCB 產生檔為dllf.dll 主程式為c:\winnt\svchost.exe
寫入機碼要注意一下userinint部分, 和之前的.ATB一樣將逗點後面那部分刪除即可
Userinit C:\WINNT\system32\userinit.exe <--正確應為如此
這些TSPY_LINEAGE相關病毒真沒創意=.=抄來抄去
果然是驕兵必敗
小京原本認為已經刪除的病毒突然又產生Log
再次仔細檢查>///<終於發現了漏網之魚
原來在這邊偷偷被寫入了一段執行到C:\WINNT\svchost.exe
這個檔案應該只有在system32底下才對>///<
另外system32底下還有類似dlyy.dll mxdll.dll af mx這種dll檔案
今天由於Officescan又不能刪除的情況下
小京又再度出動殺毒了, 這次的目標是病歷室, 一到現場找到該電腦後
由於病毒不斷產生物件並載入所以老方法先進去工作管理員關掉=.=
打開工作管理員後又看到一些老朋友了 svhost32.exe rundl132.exe svhost32.exe
這次的病毒真沒創意, 不過有兩個svhsot32.exe喔要注意, 把以上程序都先關閉後
病毒Log就不會產生了, 之後開始進度regedit查看一下
果然是很沒創意的病毒, 把fzg mx ryy等機碼刪除後, 順便來砍病毒檔案
在這些機碼後面的就可以找到檔案位置
值得注意的是這邊有許多生成的檔案可以順便刪除af d1 d2 e1 mx這種包含.dat都砍
今天在上班突然接到手術室打過來的電話請我過去幫忙
到了現場後才發現電腦中毒=.=
檔案路徑:C:\WINNT\system32 , 檔案名稱:xiw828isidll.dll
防毒軟體無法清除也無法刪除(趨勢該加油了喔Orz)
二話不多說先執行工作管理員看看有啥可疑程式
IEXPLORE.exe <--大寫的=.=好詭異先結束這程式好了
果然在結束此程式之後, 病毒的Log就沒有一直跳出來了
接下執行 regedit 編輯->尋找->IEXPLORE(大寫的) 字串需完全相符打勾
果然找到了這詭異的load, 刪除後即可解決此病毒^^
Bad Behavior has blocked 1336 access attempts in the last 7 days.
