test

ziyouyu · 发表于 2008-10-17 11:43:40

16号，有人反映上不了网，通过科莱分析内网存在ARP欺骗，于是让同事去查看中毒机器，没有发现什么问题。17号早上只要打开浏览器浏览网站360安全卫士就会提示gggggttt. cn/ 1/zz.htm的恶意插件木马。于是再次打开科莱监控发现还是昨天的机器大量的发ARP攻击并伪造网关，对中毒机器断网问题解决，查看中毒机器，发现所有杀毒软件均被关闭通过各种形式都无法运行。
以下是从网上找到的对于该木马的临时解决方案如下：
         1，为防止病毒一直不停的从网络上联机下载木马程序，务必先要进行计算机断网，并进入
            安全模式下操作。
         2，根据本机木马具体情况禁用掉相关IE加载项，杜绝再次感染。
         3，修复注册表项，清除本机病毒所有自动运行项，利用杀毒软件进行全盘扫描（推荐
            使用卡巴2009，或者瑞星2008正式版，务必升级为最新病毒库。）
         4，下载360安全卫士，（注：360安全卫士在大多数情况下只能起到预防及部分拦截
            作用，不能将其等同于杀毒软件使用，也不能过分依赖于任何杀毒软件。）
         5，修复IE相关关联，清楚所有临时文件。（有人说有的东西删不掉怎么办？请使用软件
            粉碎相关流氓文件，或进入光盘系统等脱机处理。）
         6，检查开机启动项，删掉不必要的选项。
         7，杀毒过程中，请注意区别系统及仿系统文件，在手动清理过程中，最好能将相关文件
            打包备份，避免因误删导致的系统问题。
         8，最直接的方法，重装系统。系统安全完成后请使用右键打开资源管理器，显示所有文
            件后，删除其他盘内的自动运行脚本，进行全盘扫毒。

pctemplar · 发表于 2008-10-17 18:42:56

嗯，LZ说的是！我再补充两点：
1. 对于嵌入进程、隐藏服务以及驱动级病毒想要查杀还需一定安全类软件配合。如：Process Explorer 、IceSword、AutoRuns等等。
2.每次安装完成系统后（首先安装杀毒软件+360安全卫士），然后备份以便日后系统出现问题能够用最短的时间恢复。
网上的MAXDOS、一键备份恢复系统等系统备份工具都不错，推荐MAXDOS，它可以在DOS下完成所有操作。

ziyouyu · 发表于 2008-10-18 08:20:26

现在的病毒和木马是无法靠单纯的手工和单一工具解决了，必须得依靠多个工具配合起来使用，方见效果。不然只能采取重做系统的方法了。

只是一个神话 · 发表于 2008-10-18 08:27:10

autoruns+windows pe+NOD32绿色版。

sunlovedmean · 发表于 2008-10-22 23:36:18

哈哈，我今日上一个政府单位修机就遇上了，不过真的有点难搞，到底是电脑有问题还是路由路中了毒

test

评分

pctemplar楼说的有道理！