作者jetzake (加菲猫)
看板AntiVirus
标题Re: [中毒] 电脑自动倒数60秒重开机, 可是扫不到疾 …
时间Sat Sep 27 05:08:31 2008
※ 引述《SunDing (到哪里都是睛天★)》之铭言:
: 先治标一下~~~
: 到控制台→系统管理工具→服务
: 找到Remote Procedure Call(RPC) 按右键→内容
: 到标签修复的部份将第一次/第二次/後续失败时的重新启动电脑改为
: 【不执行动作】
: 修改後没有再出现问题~~~不过这是治标不治本的方法~~~!!!
: what happened?
: 如果突然出现重开机倒数
: 打开执行 输入 shutdown -a 让视窗关掉~~~
推荐先用这个方式治标一下....= =A
刚刚拜了一下google大神 这东西似乎是9月中才出来的...OTZ
: 确认一下 大家试试能使用剪下贴上的功能吗?
: 我拿桌上面的资料来实验 确定不行
: 这是老疾风的情况:
: 1.出现RPC服务意外终止倒数60秒重新启动的讯息,造成系统不断重开机。
: 2.无法执行复制和贴上的动作。
: 3.无法拖曳图示。
: 4.系统速度变很慢。
: 5.无法连线上网。
: 新疾风? 囧rz
如果是在system32下出现v2messen.exe和sprint.dll大概就是这支了....
会生成FARCZZ.BAT带出木马本体的程式...
在18143篇有人PO了LOG 症状类似 但是似乎不是同一个东西??
在9/26以後的NOD32更新似乎可以抓到...命名为"Win32/TrojanDropper.Agent.WZR"
攻击模式可能是搜集私人资料後 以远端攻击的方式触发症状
以下是释放程序
=====
@echo off
:loop
del F:\Once\v2messen\v2messen.exe
if exist F:\Once\v2messen\v2messen.exe goto loop
del %0
建立文件如下
=====
2008-9-20 10:39:40 发现:新建文件!
文件:C:\WINDOWS\system32\v2messen.exe
进程:C:\WINDOWS\System32\svchost.exe 拦截
=====
(别的地方转过来的...所以是简体)
看来会置换svchost.exe或是透过它挂载运行本身
....有谁有样本档案传上来吧???
以上...
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.165.44.102
1F:→ aamon:我有 sprint.dll 建立日期是 2008/9/20 09/27 05:17
2F:推 SilverRanger:我也是,建立日期9/20,修改日期9/27... 09/27 05:39
4F:推 pomeloyou:我也有不过建立日期是2008/9/26 09/27 05:48
5F:推 mantou:我也有sprint.dll建立日期也是9/20..修改日期9/26 09/27 05:53
6F:推 apple604:有sprint.dll建立日期9/26修改日期9/27 09/27 06:46
7F:→ aamon:电脑中又出现新东西了 dots.exe, sprint.dll砍掉会重生 09/27 06:49
8F:→ aamon:一个小时会发作一次, 还有windows\temp\里多了很多东西呢 09/27 06:50
9F:推 csman32403:我也有sprint.dll 建立日期是 2008/9/20 修改日期9/26 09/27 07:20
10F:推 zha0:请问有人的 v2messen.exe 还留着吗 ? 我想分析 >/////< 09/27 08:10
11F:推 kilin1203:我都是用更改时间,而不是输入 shutdown -a 09/27 09:56
12F:→ kelsolove:NOD32已更新病毒码至9/27,仍扫不出这只病毒 09/27 11:00
13F:→ kelsolove:只有出现sprint.dll 其他档案都没有出现 09/27 11:01
14F:推 koflll:我也是砍掉sprint.dll档後一直重生,有无办法处理呢?~"~ 09/27 11:08