AL8 Forum
»
Windows XP 討論研究
» [疑似病毒下載點]DL左個不知明物體
‹‹ 上一主題
|
下一主題 ››
標題: [疑似病毒下載點]DL左個不知明物體
打印
|
推薦
|
訂閱
|
收藏
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#1
大
中
小
發表於 2008-8-8 16:41
資料
個人空間
主頁
短消息
加為好友
[疑似病毒下載點]DL左個不知明物體
岩岩上上下網 見到一個rar 咁就download左落黎
佢彈 開啟 同 儲存 出黎既時候 第一次我禁左儲存 save左係桌面
但下載完之後 冇果個rar....
我再試多次 今次直接禁開啟 都係冇反應....
難道這就是 病毒
?
[
本帖最後由 安少 於 2008-8-8 18:22 編輯
]
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
i553041
0092967
頭銜: Moderator
暱稱: 電腦新手
帖子: 3629
精華: 0
積分: 38624 點
現金: 425 元
存款: 0 元
閱讀權限: 100
註冊: 2007-12-16
來自: 樂富
狀態: 離線
#2
大
中
小
發表於 2008-8-8 17:11
資料
個人空間
短消息
加為好友
QUOTE:
原帖由
安少
於 2008-8-8 16:41 發表
岩岩上上下網 見到一個rar 咁就download左落黎
佢彈 開啟 同 儲存 出黎既時候 第一次我禁左儲存 save左係桌面
但下載完之後 冇果個rar....
我再試多次 今次直接禁開啟 都係冇反應....
難道這就是 ...
你上得黎POST呢篇文,其實你心入面已經有一個答案啦,你係等其他人附和你,個rar檔係病毒o者!
咁你要問下自已,你有無裝防毒軟體啦,或者個rar真係病毒,不過比防毒軟體block左吧!
所以會出現save左o係桌面唔見左,開啟又無反應呢個情況啦!
不過我估下咋,網上的rar有幾百億個,單單幾句,檔案名又無,o係邊度download又無講,好難講係咪真係病毒黎架!
[
本帖最後由 i553041 於 2008-8-8 17:13 編輯
]
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#3
大
中
小
發表於 2008-8-8 17:12
資料
個人空間
主頁
短消息
加為好友
唔記得左係邊到DL...我想問..如果block左既話 我dl完冇save 咁我直接開啟 都係開唔到?
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
bananasims
0025881
頭銜: Super Moderator
帖子: 12101
精華: 0
積分: 27105 點
現金: 345 元
存款: 84490 元
閱讀權限: 110
註冊: 2005-7-10
狀態: 離線
#4
大
中
小
發表於 2008-8-8 17:15
資料
個人空間
主頁
短消息
加為好友
有時啲 crack 一 down 完防毒會即刪
I-Circle Forum
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#5
大
中
小
發表於 2008-8-8 17:16
資料
個人空間
主頁
短消息
加為好友
咁姐係如果禁左開啟既話 都係冇事?
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
i553041
0092967
頭銜: Moderator
暱稱: 電腦新手
帖子: 3629
精華: 0
積分: 38624 點
現金: 425 元
存款: 0 元
閱讀權限: 100
註冊: 2007-12-16
來自: 樂富
狀態: 離線
#6
大
中
小
發表於 2008-8-8 17:17
資料
個人空間
短消息
加為好友
QUOTE:
原帖由
安少
於 2008-8-8 17:12 發表
唔記得左係邊到DL...我想問..如果block左既話 我dl完冇save 咁我直接開啟 都係開唔到?
如果防毒真係block左,唔save直接開開唔到都唔出奇..
防毒軟體如果偵測到有病毒的話,點會比該病毒執行?
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#7
大
中
小
發表於 2008-8-8 17:21
資料
個人空間
主頁
短消息
加為好友
QUOTE:
原帖由
i553041
於 2008-8-8 17:17 發表
如果防毒真係block左,唔save直接開開唔到都唔出奇..
防毒軟體如果偵測到有病毒的話,點會比該病毒執行?
咁姐係我直接開啟既話 都唔會中毒?
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
i553041
0092967
頭銜: Moderator
暱稱: 電腦新手
帖子: 3629
精華: 0
積分: 38624 點
現金: 425 元
存款: 0 元
閱讀權限: 100
註冊: 2007-12-16
來自: 樂富
狀態: 離線
#8
大
中
小
發表於 2008-8-8 17:28
資料
個人空間
短消息
加為好友
QUOTE:
原帖由
安少
於 2008-8-8 17:21 發表
咁姐係我直接開啟既話 都唔會中毒?
我諗你誤會左了,防毒軟體的病毒定義因為不夠新,而偵測不出某些病毒的話...那無論用甚麼方式開啟檔案都會中毒!
但只要防毒軟體偵測出有毒的話,就無論你點開個病毒檔案都唔會中毒!
防毒軟體的功用就係要咁,如果明明偵測出有毒,但開啟帶毒檔案仍然會中招的話,咁要個防毒軟體做乜呢?
[
本帖最後由 i553041 於 2008-8-8 17:40 編輯
]
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#9
大
中
小
發表於 2008-8-8 17:35
資料
個人空間
主頁
短消息
加為好友
QUOTE:
原帖由
i553041
於 2008-8-8 17:28 發表
我諗你誤會左了,防毒軟體的病毒定義因為不夠新,而偵測不出某些病毒的話...那無論用甚麼方式開啟檔案都會中毒!
但只要防毒軟體偵測出有毒的話,就無論你點開個病毒當案都唔會中毒!
防毒軟體的功用就係要咁,如 ...
哦~
咁係今次入面 防毒偵測到個FILE有毒 block左 所以save唔到
佢偵測到有病毒 姐係我今次無論點開都唔會中毒
如果下一次個防毒唔夠新 偵測唔到個病毒
我一開就會即刻中毒 意思係咪咁
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
i553041
0092967
頭銜: Moderator
暱稱: 電腦新手
帖子: 3629
精華: 0
積分: 38624 點
現金: 425 元
存款: 0 元
閱讀權限: 100
註冊: 2007-12-16
來自: 樂富
狀態: 離線
#10
大
中
小
發表於 2008-8-8 17:40
資料
個人空間
短消息
加為好友
QUOTE:
原帖由
安少
於 2008-8-8 17:35 發表
哦~
咁係今次入面 防毒偵測到個FILE有毒 block左 所以save唔到
佢偵測到有病毒 姐係我今次無論點開都唔會中毒
如果下一次個防毒唔夠新 偵測唔到個病毒
我一開就會即刻中毒 意思係咪咁
可以咁講,不過我係估...你遇到o既情況可能是防毒軟體攔截了病毒檔案,但唔係百分之百一定就是這個原因的!
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#11
大
中
小
發表於 2008-8-8 17:42
資料
個人空間
主頁
短消息
加為好友
哦..明白曬...唔該曬
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#12
大
中
小
發表於 2008-8-8 17:46
資料
個人空間
主頁
短消息
加為好友
岩岩搵返下載條link 貼一貼出黎 搞掂之後我會刪左佢..麻煩可以的可唔可以幫我睇睇
刪返條link先
[
本帖最後由 安少 於 2008-8-8 23:20 編輯
]
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
kohong
0040689
頭銜: Forum Legend
暱稱: KC 仔
帖子: 3336
精華: 0
積分: 726 點
現金: 0 元
存款: 20728 元
閱讀權限: 70
註冊: 2006-2-27
狀態: 離線
#13
大
中
小
發表於 2008-8-8 21:28
資料
個人空間
短消息
加為好友
QUOTE:
原帖由
安少
於 2008-8-8 17:46 發表
岩岩搵返下載條link 貼一貼出黎 搞掂之後我會刪左佢..麻煩可以的可唔可以幫我睇睇
疑似病毒下載
真係
QUOTE:
找不到所請求的網址
在嘗試檢索網址時:
http://www.heibai.net/tools/ddos/
Autocrat1.26.60.zip
遇到了下列錯誤:
所請求的目標已被感染了下列病毒: Backdoor.Win32.Autocrat.b
如果您認為這是不正確的,請聯繫您的服務提供商。
是咁的
AL8 Forum © All rights reserved.
HKZZA
0103265
頭銜: Conqueror
帖子: 239
精華: 0
積分: 2456 點
現金: 92 元
存款: 0 元
閱讀權限: 20
註冊: 2008-6-15
來自: 香港_新界西
狀態: 離線
#14
大
中
小
發表於 2008-8-8 21:33
資料
個人空間
主頁
短消息
加為好友
回覆 #13 kohong 的帖子
真系
我個防毒都系咁
Rz Forum
網址:http://hkorz.hk.vg/bbs/
簡介:新一代以年青人題材為主既論壇
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#15
大
中
小
發表於 2008-8-8 23:20
資料
個人空間
主頁
短消息
加為好友
但係點解我個防毒咁怪 要download完先自動block呢
在天願作比翼鳥
在地願為連理枝
天長地久有時盡
此恨綿綿無絕期
AL8 Forum © All rights reserved.
i553041
0092967
頭銜: Moderator
暱稱: 電腦新手
帖子: 3629
精華: 0
積分: 38624 點
現金: 425 元
存款: 0 元
閱讀權限: 100
註冊: 2007-12-16
來自: 樂富
狀態: 離線
#16
大
中
小
發表於 2008-8-9 09:16
資料
個人空間
短消息
加為好友
QUOTE:
原帖由
安少
於 2008-8-8 23:20 發表
但係點解我個防毒咁怪 要download完先自動block呢
如果唔係成個檔案下載完成個防毒軟體先作出攔截,咁下載途中點樣偵測出有病毒呢?(檔案唔完整)
正如一個zip檔,或者一個rar檔,未下載完成都開唔到,就算開得到,都解壓唔都一樣!(因為檔案唔完整)
[
本帖最後由 i553041 於 2008-8-9 09:29 編輯
]
AL8 Forum © All rights reserved.
安少
0073038
頭銜: Conqueror
帖子: 270
精華: 0
積分: 130 點
現金: 0 元
存款: 2698 元
閱讀權限: 20
註冊: 2007-4-13
來自: 天水圍
狀態: 離線
#17
大
中
小
發表於 2008-8-9 10:54
資料
個人空間
主頁
短消息
加為好友
QUOTE:
一、 病毒標簽:
病毒名稱: Backdoor.Win32.Autocrat.b
病毒類型: 後門類
文件 MD5: 4262A8B52B902AA2E6BF02A156D1B8D4
公開範圍: 完全公開
危害等級: 4
文件長度: 102,912 字節
感染系統: windows 98以上版本
加殼類型: PECompact 1.4x or above
二、 病毒描述:
該病毒為後門類,病毒運行後,復制自身到系統目錄下,重命名為wupdmgr32.exe ,衍生病毒文件,並刪除自身;病毒運行完後強制重起操作系統。創建服務,並以服務的方式達到隨機啟動的目的。修改注冊表中bat,com,exe,scr文件關聯項。該病毒是遠程控制程序的受控端,具有自動尋找控制端的功能,與控制端連接成功後,可以對用戶電腦進行遠程控制。
三、 行為分析:
1、病毒運行後釋放文件:
%system32%\srvsupp.exe
%system32%\wsock32l.dll
%system32%\wsock32p.dll
%system32%\wsock32s.dll
%system32%\wupdmgr32.exe
2、修改注冊表中bat,com,exe,scr文件關聯項:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\DefaultIcon\@
新: 字符串: "%1"
舊: "%SystemRoot%\System32\shell32.dll,-153. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
舊: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\DefaultIcon\@
新: 字符串: "%1"
舊: 字符串: "%SystemRoot%\System32\shell32.dll,2. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
舊: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
舊: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
舊: 字符串: ""%1" /S"
3、創建服務Service Support和 Microsoft Windows Update Service,以服務的方式達到隨機啟動的目的:
服務名稱: Service Support
顯示名稱: Service Support
描述: Windows Service Support
可執行文件的路徑: C:\WINDOWS\system32\srvsupp.exe
啟動方式: 自動
服務名稱: Service Support
顯示名稱: Microsoft Windows Update Service
描述: Microsoft(R) Windows Update
可執行文件的路徑: C:\WINDOWS\system32\wupdmgr32.exe
啟動方式: 自動
4、主動連接網絡,下載相關病毒文件:
協議:TCP
地址:asp.7i24.com(61.145.112.39)
端口:80
進程:wupdmgr32.exe
5、srvsupp.exe進程連接網絡,等待病毒服務端連接,連接成功後中毒機器會受到遠程控制。
注釋:
%Windir% WINDODWS所在目錄
%DriveLetter% 邏輯驅動器根目錄
%ProgramFiles% 系統程序默認安裝目錄
%HomeDrive% 當前啟動系統所在分區
%Documents and Settings% 當前用戶文檔根目錄
%Temp% 當前用戶TEMP緩存變量;路徑為:
%Documents and Settings%\當前用戶\Local Settings\Temp
%System32% 是一個可變路徑;
病毒通過查詢操作系統來決定當前System32文件夾的位置;
Windows2000/NT中默認的安裝路徑是 C:\Winnt\System32;
Windows95/98/Me中默認的安裝路徑是 C:\Windows\System;
WindowsXP中默認的安裝路徑是 C:\Windows\System32。
四、 清除方案:
1、使用安天木馬防線可徹底清除此病毒
2、手工清除請按照行為分析刪除對應文件,恢復相關系統設置。推薦使用ATool(安天安全管理工具)
(1) 使用安天木馬防線或ATool中的“進程管理”關閉病毒進程
(2) 強行刪除病毒文件(可用冰刃強行刪除)
%system32%\srvsupp.exe
%system32%\wsock32l.dll
%system32%\wsock32p.dll
%system32%\wsock32s.dll
%system32%\wupdmgr32.exe
(3) 恢復病毒修改的注冊表項目,刪除病毒添加的注冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\DefaultIcon\@
新: 字符串: "%1"
舊: "%SystemRoot%\System32\shell32.dll,-153. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
舊: 字符串: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\DefaultIcon\@
新: 字符串: "%1"
舊: 字符串: "%SystemRoot%\System32\shell32.dll,2. "
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\@
新: 字符串: "C:\WINDOWS\system32\wupdmgr32.exe "%1""
舊: 字符串: ""%1" %*"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\
