作者CassSunstein (Pm)
看板AntiVirus
标题Re: [问题] 怎麽处置被复原的「IDP.ALEXA.51」病毒?
时间Wed Dec 26 03:31:11 2018
D大您的警诫很好,可惜随身碟在影印行被病毒入侵後,回家将随身碟插上电脑,第一时间
我的随身碟内资料无法被看到,但只有点那个数据机图示(捷径--网路上说点下去就放出
病毒,但当时我不清楚,事後听说了但也没办法,因为必须叫出随身碟内的资料)下去才
看得到。
只是这情况因为很怪,我知随身碟内有毒了,所以我就对随身碟扫毒发现了
「IDP.ALEXA.51」,随身碟插着电脑,我猜毒也跑进电脑了,我扫电脑也发现
「IDP.ALEXA.51」、此时在防毒软体提供的步骤下,我将随身碟中与电脑中的
「IDP.ALEXA.51」都加以隔离。
此时问题是:昨天我扫完将「IDP.ALEXA.51」「又」隔离後,此时随身碟的资料即使点按
数据机图示,反而完全不出现。有些重要的文件档啊...我又能怎麽办呢?「没隔离前」
至少还能让随身碟内各档案出现啊。所以只好「解除隔离(复原)」以求至少随身碟内的
资料如同未隔离「IDP.ALEXA.51」以前一样先变回来啊....
这是我这种资科能力麻瓜者只能想到的「回到上一动」的逻辑啊。
ps.而且麻烦的是,当时心慌意乱。我忘了我在隔离区是将挑中的好几个
「IDP.ALEXA.51」(因为半年来我去过该影印行很多次、也中过很多次,防毒软体扫到後
也隔离了几次)中的哪一个「复原到电脑硬碟」或「复原到随身碟」?(因为随身碟插着
电脑,已交叉感染。导致原先随身碟中与电脑中都有「IDP.ALEXA.51」被我在扫描後移到
防毒软体隔离区)
因此本文请D大及其他高手们不吝指点本文篇幅中凡是那些有问号之处。感谢感谢~
(如果承蒙回文逐段赐教,更加感谢~)
1F:推 DINJIAPC: IDP技术是主防 ,恭喜亲手将未入库的病毒完全放行。抢12/26 00:35
资科麻瓜在此请教:「完全放行」是指?指已经纵虎归山再也无法用防毒软体的通常扫描
方式抓到不知躲去哪的「IDP.ALEXA.51」?
此外,放行是指我现有的防毒软体Avast放行吗?如果答案为yes,那麽,如果我按照jo大
的建议,先解安装Avast然後下载安装其他防毒软体例如AVG来扫,会扫得出来(然後再加
以隔离)吗?。..或其实如您所暗示的已「纵虎归山」,再也来不及隔离了?
其三,D大说IDP技术是「主防」,请教:「主防」是什麽意思?
2F:→ DINJIAPC: 救文写在下面几篇求救文中自己爬吧。正确作法都要手工 12/26 00:35
我10年前在撑到距今2年前而报废的笔电中,曾中过一则很刁钻的毒,一般防毒软体根本杀
不掉、病毒发作时,萤幕画面整个如坏掉的电视机萤幕一样乱闪,强制重新开机後,通常
模式的桌面根本进不去,只能再次强制开机後赶紧按键在安全模式中进桌面,用上了置底
求救文上说的三种清除程式「Combofix、Hijackthis、SRENG」才解毒,也很感谢那三个程
式(其设计者功力似乎比商业防毒软体工程师还强啊)。
我忘了当初有无提交log资料(印象中有)。好像没等有高手告知进一步的解法,我自行靠
执行三个程式,就直接救回我电脑,我也就没去留意是否有高手依log资料回答全盘的解法
了。
请问我目前「貌似」电脑一切正常(我只是很想找出被我「还原」的「IDP.ALEXA.51」
跑到硬碟中的哪去了)。请教D大,目前情况仍属於您暗示的「已经完全放行(像我上述
10年前那样)」的危机吗?
或是说,「IDP.ALEXA.51」的特色不是让系统崩溃(例如10年前那次的萤幕画面乱闪),
而是属於间谍程式偷偷将宿主硬碟内资料、密码等等连线给远方骇客?所以我目前电脑
浏览与打字才完全没异样?
3F:→ DINJIAPC: 分析log 在写清除脚本你自己加油 解法都放在下数篇讨论12/26 00:35
4F:→ DINJIAPC: 中 找到就能当毒王了12/26 00:35
解法即便写在求救资讯文,但身为资科麻瓜,「写『清除脚本』」这个任务我现在完全
没概念、脑筋打结。毕竟上次是10年前,真是岁月匆匆。我刚刚再次去看置底求救资讯文
,发现一些不懂之处:
1.求救资讯文内说要先全系统扫描。可是我就是以Avast扫过却没再发现(被我「复原」的
)病毒。所以这边我脑筋就不知下一步该做啥、脑筋钝住了。请大家对此点解惑啊。
2.关於求救资讯文建议的下载、执行ATF cleaner程式(用以清除暂存档)
http://sylovanas.blogspot.com/2009/04/atf-cleaner.html
因为网页中所说的「请参考此图示」的教学「图示」不知怎的现出不来(图案只变成三角
形中有一个惊叹号)--很多网友也推文证实图片现不出,导致我不知怎麽办。因此请问:
如果下载这个ATF cleaner,是不是执行上反正就一直「确定、确定」地执行下去、不必担
忧按错?可是因为Windows系统好像自身就有清除暂存档的指令,程序比较简单。请问:
不适合以Windows系统本身的清除暂存档功能代替ATF cleaner吗?
3.求救资讯文附的Hijackthis的程式载点页面好像已经沧海桑田变成不相干的。
似乎要从网友建议的下方这个网址下载,是吗?
https://sourceforge.net/projects/hjt/files/latest/download
4.Combofix这个程式我印象中(?)好像原设计者已经宣布停止更新?是这样吗?
5.因为10年前太久了我印象变淡。请问,这三个程式「Combofix、Hijackthis、SRENG」
我分别都是点下去就对了、中途不会出现哪些还要思考选yes或no的选择吧(不然就伤脑筋
了)?
此外,Combofix的说明页面说「请先将防毒程式防护关闭(不是关闭防毒程式介面)」,
我被名词搞混了。比如以Avast为例,我该关闭的到底是什麽(我平常只会死板使用Avast
,分不清什麽「『防毒防护』关闭」或「关闭『防毒程式介面』」,完全没概念)。
能请大家解说这两个名词概念是哪里不同呢?
6.log文(D大所谓「写『清除脚本』」)到底要写/附上什麽、怎麽写/附(而且形式是
什麽:pdf?doc?),来上传到云端?三程式执行完的「结果资料」怎麽摘录?ex.复制贴
上?
着手执行前想先了解一下,以免执行到一半万一要输入什麽指令时我脑筋打结..
7.「Combofix、Hijackthis、SRENG」、ATF cleaner等程式执行过程中,顶多只须用滑鼠
点选选项,不需用到键盘去在或许冒出的Dos视窗中输入指令(这样对资科麻瓜的压力比较
小)吧?
以上恳请高手们指点或解答。感激不尽。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 101.136.53.188
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1545766275.A.4E9.html
5F:→ whatisapity: 你没看懂 12/26 03:54
6F:→ whatisapity: IDP是防毒软体使用的技术名称,不是病毒的名称 12/26 03:55
感谢wh大惠予多多讲解啊...
※ 编辑: CassSunstein (101.136.53.188), 12/26/2018 03:56:53
7F:→ whatisapity: 这种技术是针对程式的「行为」去拦截 12/26 03:56
8F:→ whatisapity: 而不是侦测程式码 12/26 03:56
9F:→ CassSunstein: 抱歉我误解了~我文中IDP我以为是标题那个ALEXA.51~~ 12/26 03:58
10F:→ CassSunstein: 导致我简称it为IDP~抱歉我竟然鸡同鸭讲~sorry~ 12/26 03:58
已经都改正回来标题的名称了。
11F:→ whatisapity: 现在既然这个「行为」已经不存在了 12/26 04:04
有点看懂您的意思了。不过新的疑惑是:如果是「只有一个被隔离」的「IDP.ALEXA.51」
很符合您说的我手动让防毒软体对「IDP.ALEXA.51」改变认定。
但请问有好几个「IDP.ALEXA.51」在病毒隔离区的话呢:
我「还原」了「其中一个」。但隔离区还有「其他」「IDP.ALEXA.51」还被关着。
所以我的Avast对於那个「被放走」的「IDP.ALEXA.51」,理论上而言,重新扫描,
到底还查得到被放走的「IDP.ALEXA.51」吗?Avast到底怎麽看待「IDP.ALEXA.51」?
因为「有被放走的」也有「依然被关的」啊。我自己都脑筋打结了。..请wh大讲解啊...
12F:→ whatisapity: 就算防毒扫到也不会当它是恶意软体 12/26 04:04
13F:→ whatisapity: 因为防毒软体根本不认识它 12/26 04:06
14F:→ whatisapity: 只是认为它的「行为」很可疑而已 12/26 04:06
所以请问wh大,如今我该做哪些可行的检测/侦查动作来查出「IDP.ALEXA.51」到底藏在
哪呢?跟网路上那些教导输入指令然後查这查那让我脑筋打结相比,倒不如我宁可采用jo
大说的「换装其他扫毒软体另扫一次」都简单些?
加上D大判断我已经将「IDP.ALEXA.51」纵虎归山,所以我现在会紧张,今晚难以入睡了..
15F:→ whatisapity: D大的意思大概是这样吧? 12/26 04:07
16F:→ whatisapity: 先问一下你有没有开UAC好了 12/26 04:13
17F:→ whatisapity: 通常UAC没被过,恶意软体就做不了什麽大事 12/26 04:13
18F:→ whatisapity: 因为要安装Win32应用一定要管理员权限 12/26 04:13
19F:→ whatisapity: 没开就重灌吧,别烦恼了 12/26 04:13
20F:→ CassSunstein: 我电脑买了就用 完全不清楚有无开UAC使用者帐户控制 12/26 04:15
21F:→ CassSunstein: 要怎麽查有开或没开UAC呢?(刚google後才知UAC意思) 12/26 04:19
22F:→ CassSunstein: 我这台的系统是Win10~Win10中怎麽查有无开UAC呢? 12/26 04:20
23F:→ whatisapity: 「您是否要允许下列程式变更这部电脑?」 12/26 04:26
24F:→ whatisapity: 安装软体时看过这视窗吗?有看过就是有开 12/26 04:26
啊我有印象有这个询问,我每次还要点选「是(同意变更为新程式)。那麽是有开UAC罗。
上方您指导说「没开就重灌」,如果「有开(UAC)」您说则会?
25F:→ whatisapity: 啊,Win10好像是说「此App」和「装置」 12/26 04:28
26F:→ whatisapity: 反之就差不多这种东西 12/26 04:29
27F:→ CassSunstein: 能请wh大讲解一下您说"这个「行为」已经不存在了"的 12/26 04:37
28F:→ CassSunstein: 亦即您的04:04那句推文 下方的我的疑惑吗 感谢感谢~ 12/26 04:38
※ 编辑: CassSunstein (101.136.53.188), 12/26/2018 04:38:53
29F:→ CassSunstein: 我还有一台XP pack 3的电脑也常插过中毒的随身碟 12/26 04:42
30F:→ whatisapity: 问Google吧,我不是专家 12/26 04:43
31F:→ whatisapity: 用IDP、行为防护、Avast这几个关键字去查 12/26 04:43
32F:→ CassSunstein: XP之中又宜如何处置此病毒呢(但Avast完全没扫到它) 12/26 04:44
33F:→ CassSunstein: 嗯 谢谢wh大百忙之中热心的讲解~~ 12/26 04:45
34F:→ whatisapity: 喔,我看错你的问题,抱歉 12/26 04:50
35F:→ whatisapity: 重新回答一次好了 12/26 04:52
36F:→ whatisapity: 答案是,我不知道怎麽处理wwwwwww 12/26 04:54
37F:→ whatisapity: 用Malwarebytes或ESET online scanner碰运气吧 12/26 04:54
38F:→ whatisapity: ESET online scanner的话建议把潜在不安全应用 12/26 04:56
39F:→ whatisapity: 和潜在不需要应用都打勾 12/26 04:56
40F:→ whatisapity: 可能会误报,自己判断一下 12/26 04:56
41F:→ whatisapity: 我再讲下去大概会被真正懂的人臭骂一顿 12/26 05:11
42F:→ whatisapity: 所以就这样吧www 12/26 05:11
43F:推 DINJIAPC: S31290228.pixnet.net 看完再说 12/26 06:42
44F:→ DINJIAPC: 小写... 12/26 06:42
45F:推 DINJIAPC: 上班没睡很累了 9点再来写吧 12/26 06:46
46F:推 DINJIAPC: 1.请用7z去开启随身碟. 12/26 06:49
47F:→ DINJIAPC: 2.blog的流程与工具包看过备用.如果你还有原本的样本档 12/26 06:49
48F:→ DINJIAPC: 请打包 找免空上传补上网址。 12/26 06:49
49F:推 tonyxfg: 呃...如果找不到资料,你有试着打开"显示隐藏的档案"这选 12/26 08:48
50F:→ tonyxfg: 项吗? 12/26 08:49
51F:推 DINJIAPC: 他打不开的.土法炼钢的用rar去看去搜寻比较实在 12/26 09:30
52F:→ CassSunstein: 请问D大 您说的s31290228网页中的防毒程式 是用来 12/26 14:46
53F:→ CassSunstein: 装在"随身碟中"来避免病毒入侵随身碟的吗? 12/26 14:47
54F:推 DINJIAPC: 不是,是方便你拿去各电脑杀毒的 12/26 19:57