最近出現的病毒，網卡裝置全驚嘆號！！

逃兵

原帖由 shunxing 於 2010-4-16 12:01 PM 發表 http://bbs.pigoo.com/images/common/back.gif
還有~~重灌1200元??會不會太猛了~~~~~
如果是解毒收貴一點~~那還沒話說(技術錢)~~~~
重灌~~收這 ...

1200算便宜得要死了啦。
我重灌收4萬元新台幣。要就來，不要就拉倒。

yoyoben777

原帖由 逃兵 於 2010-4-24 11:30 AM 發表 http://bbs.pigoo.com/images/common/back.gif

1200算便宜得要死了啦。
我重灌收4萬元新台幣。要就來，不要就拉倒。

難怪你會不吃雞,原來是土匪,都吃鮑魚
要就來，不要就拉倒。:我看你家門口早就倒了一缸子人了:sam05

阿水

大大你在哪...我來幫你重灌！n_093|

s10274chen

今天回到家，老爸跟我說，接到一件case，剛剛客人把電腦搬來了。
真慘，一開機，才剛到桌面，馬上重開機，而且多開了幾次，發現好像是在同一個時間點（一看到桌面一段固定時間後，馬上重開了。）
到現在還在跟它奮鬥，有找到幾隻毒，先大略砍一下好了。
我有順便擷圖，到時候看要PO到維修實例，還是放這邊。

阿水

先用XPE去開..然後把病毒殺很大~~~~~~~~~~~~~~~~~~~~~n_090|

s10274chen

n_033| 糟糕了！
病毒又「春風吹又生了」，進xpe後，再砍一次，這次砍兇一點，結果竟然砍到系統檔了！
藍底白字死機......stop c0000135 unknow hard error
看來好像又要重裝作業系統了。
-----------------------剛剛又做了一番努力-------------------------------------------
參考網路上的一些資料、偏方，嘗試修復系統，這時候又能進去了，但網路裝置全部變成驚嘆號。

阿水

修復安裝看看吧！
偷偷告訴你一個我殺病毒的方法。

============我是該死的分格線===================
1.進入到XPE.....

2.把資料匣設為顯示詳細資料

3.先到硬碟根目錄(C、D、E....等槽)內看是否有autorun.inf或是檔名奇怪的檔案都刪了。(C槽下有系統檔別誤刪...怕的話在刪之前先備份吧)

4.到資料匣windows\system32 內...修改日期按一下使得最新時間的檔案在最上方....
通常中毒的檔案時間都滿新的~~~~~~~把覺得怪怪的檔案刪了吧！但要記得先備份..小心誤刪！


再來還有可能其它地方有病毒...但我以上講的地方是最常藏毒的地方~~~
可以查一下哦！！


如果誤刪到不能開機..可以使用XP的修復安裝來修復XP！

s10274chen

現在系統是已經修復了，該找的病毒最常所在位置，已經查過了，大概已經清掃完畢，現在僅剩網路裝置全部都是驚嘆號，也沒有奇怪的autorun，回家再把驅動重新裝過。
那時候不能開機，我砍到核心檔了！後來還好系統內有備份檔，複製回去，可以開機了。

midole

哈哈!我的處理方式如下:
1.重新開機,進入安全模式(F8)
2.控制台/系統/裝置管理/網路介面卡(都是驚嘆號)
3.每個都給它變成停用
4.重新開機
5.應該會正常進入你原來的系統
6.用 WinsockXPFix  這修護程式 執行一下  重新開機
7.控制台/系統/裝置管理/網路介面卡(都是驚嘆號)(如沒看到按上面 檢視/顯示隱藏裝置)
8.將你原有的一些迷你連接埠'pppoe'ip'網卡'等等重新啟動(如不認識的或未知的)就不要啟動它
9.重新開機,連網了   
10.一般小黑都會加入連接埠及干擾佔據原有連接埠

s10274chen

連個安全模式都掛彩了，進不去。n_010|
謝謝米大，驚嘆號的問題，現在已經解決了，可以上網了，又向前邁進一步了，現在正在將病毒的「餘黨」勢力剷除。
掃毒又有發現醫些被感染的檔案，等下又要去PE模式下修改。

阿水

WinsockXPFix是用來修復TCP/IP。
前幾天到客戶家，症頭是無法上網，到場時驅動無任何問題，但區網連線有傳送但接收均為0
原本以為是網卡傳送資料的針腳故障或氧化....清一清針腳沒用.....要跟客戶告知為網卡故障時突然想到用WinsockXPFix修復看看。
沒想到修復後就OK了。有時收集一些維修用的工具軟體實在是很方便！！n_134|

s10274chen

現在遇到很讓我抱頭燒的問題了，其實問題在開始解毒時有發現，忘記跟父親講，好讓他跟客戶反應。
只要電腦一關機，在開機，要開個幾次才開的起來，原本是兩三次，再來5～6次........現在更慘，完全沒半次..................不知道要怎樣跟人交代了。
現在毒已經解完了........但出現很棘手的問題。
電腦不給我開機！除錯卡給我跑「- - - -］，還有reset哩！
超麻煩的，不知道要怎麼辦了。
兩個可能問題點......IO、bios，但這兩個我根本沒辦法修啊！IO沒辦法換，廢板有，沒工具；bios，套裝機，找不到bios。
主機板又超特殊的，intel 915系列、DDR2、內建顯卡，主機是華碩套裝機AS-D777。
光主機板的條件，不知道要去哪邊找板子來換了。
今天要去電子街找看看。

shunxing

原帖由 s10274chen 於 2010-4-30 08:58 AM 發表 http://bbs.pigoo.com/images/common/back.gif
現在遇到很讓我抱頭燒的問題了，其實問題在開始解毒時有發現，忘記跟父親講，好讓他跟客戶反應。
只要電腦一關機，在開機，要開個幾次才開的起來，原本是兩三次，再來5～6次........現在更慘，完全沒半次..................不知道要怎 ...

這情況~~我這幾天~~~幾乎是2至3天遇到一台....
清一色都是記憶體插槽氧化引起的~~~再來就是電源供應器....

前天晚上遇到一台微星的~~居然給我掛MS-11這顆超迷你的電源管你IC...
線路還燒了....還在想說不知道如何解決這問題....

s10274chen

power有換過....問題依然存在，甚至拆掉記憶體，開機不報警，一看就是完全沒有跑完P、C、R流程的R。...........不知道要去哪邊生一塊板子？n_154|

MS-11............不容易找到。----->應該說微星的電源管理晶片MS系列根本就很難找。

原本已經蠻痛恨套裝電腦了......這下套裝電腦給我的印象又更差了，X碩...........列入黑名單。n_152|

jjack6813tw

感謝阿水大的分享

carl0804

文章轉載自國家資通安全會報網站
2009-04-30 竊取資訊與下載惡意程式的Trojan.Neprodoor木馬
病毒概述：Trojan.Neprodoor木馬會竊取電腦中的資料，並且可以下載檔案與自動更新
病毒型態：木馬
風險等級：等級1
影響平台：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Vista, Windows XP
說明：
1. 當木馬被執行後，會自行複製至下列路徑。
    %System%\reader_s.exe
    %UserProfile%\reader_s.exe

2. 建立下列登錄檔項目，當每次Windows啟動時將自動執行木馬。
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Reader_s" = "%System%\reader_s.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Reader_s" = "%UserProfile%\reader_s.exe"

3. 修改下列檔案。
    %System%\drivers\ndis.sys

4. 竊取電腦中的資料，並傳送給攻擊者。  

5. 可能會下載檔案至電腦，包含自動更新。

解決方案：
1. 暫時關閉系統還原功能
    關閉系統還原功能的方法可以閱讀Windows 的文件或是參考以下網頁：
    關閉Windows XP還原功能
    關閉Windows Me還原功能
2. 更新病毒定義檔
    請執行防毒程式的更新程式或至所使用防毒軟體之公司網站下載最新的病毒定義檔。
3. 執行全系統掃描
    執行防毒軟體，並設定為執行全系統掃描。
4. 刪除登入檔內的值
    刪除下列登錄項目：
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Reader_s" = "%System%\reader_s.exe"
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Reader_s" = "%UserProfile%\reader_s.exe"

詳細解毒方法...
我還在玩,已經脫殼了,研究中...有結果再貼上來...

補充:
網路上查找的資料...我還沒試過...據說可以殺掉...

reader_s.exe病毒的本名為"Virut"，賽門鐵克有專用的移除程式可供下載：
http://www.symantec.com/content/ ... iteups/FixVirut.com

阿水

呵呵~~感謝CARL大~~
最近比較忙~~之前幫客戶解毒時都會習慣備份一份病毒...
可以拿來練練防毒軟體的掃瞄率~~

shunxing

原帖由 阿水 於 2010-6-10 11:28 AM 發表 http://bbs.pigoo.com/images/common/back.gif
呵呵~~感謝CARL大~~
最近比較忙~~之前幫客戶解毒時都會習慣備份一份病毒...
可以拿來練練防毒軟體的掃瞄率~~

這招是我以前常常在用的~~~收集病毒到最後~~~感覺沒什麼好玩的~~
後來就懶的收集了~~~以前收集這些病毒~~都是要看內容的～~~
裡面都會藏IP與網段~~~就是對方的收集資料的伺服器...
只是就算知道了~~你也拿他沒則～~
裡面的IP與網段可以改成自己的~~~有很多盜帳號密碼的就是這樣改的...
有的者是利用這一部分功能~~~攻擊他人網站的.....改成看不順眼的網站...
中毒的電腦就會一直發收集來的資料攻擊該網站...

阿水

原帖由 shunxing 於 2010-6-10 12:03 PM 發表 http://bbs.pigoo.com/images/common/back.gif

這招是我以前常常在用的~~~收集病毒到最後~~~感覺沒什麼好玩的~~
後來就懶的收集了~~~以前收集這些病毒~~都是要看內容的～~~
裡面都會藏IP與網段~~~就是對方的收集資料的伺服器...
只是就算知道了~~你也拿他沒則～~
裡 ...

:sam59 原來還有這一步啊~~~我都只拿來練防毒軟體的功力...下次來看看裡面的資訊..
又學到一招了...呵呵

大槌欽

我剛剛下載試試
嗯果然有病毒 共3隻(未解壓掃的)我用 費爾托斯特安全(很準)
1隻W32.Peerfrag變種病毒
2隻可疑未知病毒
謝謝阿水大大分享

ckevin_pin

另附上這次的病毒檔，有興趣的大大可以試試，注意...不是解毒檔哦~~~~~~~~~~~

==============================================================================
以上為XXXX原創，打字很累，請勿轉貼。


水大 改一下吧

kevinss

我重灌才收$500兼到府收送:sam21

keiko

看完你們的重灌費用 我終於知道為啥我每天都有5~8台要灌...n_030|
因為我才300..n_100|

fks

回復 keiko 的帖子

如果每天都有這樣的生意上們，一天的收入就有1500~2400元了，要用萬用系統還原安裝法比較快。

keiko

是每天都有啦  但是我覺得還原安裝的穩定性不是很好耶!!n_166|

米達麥亞

還蠻下流的病毒，把自己的名字偽裝 跟Adobe Reader很像...

s854085

今天在公司有下載病毒檔下來，下載還沒事，不過一解壓縮就被防毒給刪了Q_Q~~沒的玩
小弟是用NOD32 ESS版~~
目前還沒遇過這個情形~~~~
收藏起來^^

chioulih

現在病毒真的好恐怖~~
不知道...還以為是網路卡壞了!!

真是受教了!!

sunland

現在病毒都寫的好強,連網卡都能讓它故障~.

hannahmo

這支毒，微軟出品的"Microsoft Security Essential"也有掃到~
不過~
我猜都過這麼多天了，每一家都掃的到了吧~
呵呵~

有圖有真相一下~