標題: Re: 敬三網路?
時間: Fri Dec 28 17:53:42 2007
※ 引述《wcchang (wcchang)》之銘言:
> 剛剛諮詢室在網頁給敬三的公告似乎認為同學灌完XP後
> 未完成更新 windows update 及防毒update
> 以致於容易中毒
> 實際上我全都更新啦!
嗯~我也是相同的情況
後來現在才發現,似乎不完全是user端的錯!
因為"一般人"根本不會去安裝ARP防衛的軟體!!!
我個人,是使用 Kaspersky7.0 與 Spybot - Search & Destroy常駐~~~
但還是沒有去防範到ARP攻擊方面~
而計中所公布的那一套~( arp -s .....)根本也一點用都沒用~~!!!
治標不治本~的結果之下,且多方都把罪責怪到user端上~
根本是莫名其妙!
> (1) 黑企鵝logo
> 大陸的廣告惡意綁架網頁還是照常出現那隻黑企鵝
> 尤其愛竄改首頁, 就算是微軟更新也會出現企鵝logo
> (連到 http: //121.15.220.104)
> 剛剛我試過諮詢室建議方法
> 結果還是沒看到半隻毒...
> 這種我想一般掃毒軟體是查不到的啦!
這一點,完全不是user端的問題!!!
當我在"實驗室"以及"自家網路"裡面完全不會接受到此類的視窗!
而一回到宿舍馬上就會感受到這方面的困擾!!
就開始懷疑!有那種病毒會選擇只有回家才發作的嗎???
[1;33m後來在網路上才確定這是屬於ARP類的攻擊! [m
之前有舍友~也談到類似的問題!(會跳出QQ廣告視窗)
而板上某些人 討論的也都全指是怪罪到user端!!!
AD-Aware怎麼掃都沒用~! 因為這情況根本不是user的問題!
所以當然找不出解決辦法!
因為中毒的人繼續透過ARP攻擊宿舍裡的網友
沒中毒的因為被攻擊~ 網路很慢!有廣告視窗!
就以為自己中毒了!!!
除了網路很慢有廣告視窗!
基本上!
user端的電腦是健康的!
但是這樣下去根本沒完沒了!
計中也不出面遏止中毒的人繼續散播病毒!
反而指向沒中毒的都說他們中毒了!
在這種疑神疑鬼的情況下!
[1;33m誰敢出面指責是網管出了問題! [m
> (2)木馬偽裝成欲下載的軟體執行檔setup.exe
> 沒錯的話是SMSS病毒...
> 按到偽裝的地雷檔
> 連有名的木馬清毒軟體AVG anti-spyware及小紅傘也是"現掛"!
> 諮詢室真的低估敬三舍同學的電腦能力跟病毒感染力!!!
> [m
[1;33m這便是病毒的本體! [m
透過ARP的攻擊...木馬偽裝成user端想要下載的軟體...
當你執行 透過ARP欺騙的網路下載下來的 setup.exe
就如同這位同學說的~再有名的防毒軟體都會當場掛掉!
當下看到自己電腦右下角的防毒軟體圖示硬是被關掉~
拔網路線是人之常情~
(不過這是對的,防止病毒再到網路上邀請更多的"同伴")
接下來你就會看到~~~
工作管理員裡面的"處理程序"
多了兩個 LSASS.exe SMSS.exe 以"你自己的"使用者名稱為名的東西
(而非 小寫的 以 system 為使用者名稱的程序)
至此~! 恭喜我們這些沒中毒卻被耍得團團轉的學生!
[1;33m我們現在真的中毒了 [m
宿網公布的那套,去趨勢網站下載Trend Micro System Cleaner的方法~
很抱歉~一點屁用都沒有!
(至少,我今天12/28凌晨下載的病毒碼 lpt916.zip 是沒用的!
不過"現在"好像更新到lpt917了~不過我已經不想在去浪費那個時間了~)
甚至他會關閉掉你開啟安全模式的功能!
你就會看到你進不去安全模式又跳回去重開機的畫面 = =
你甚至要去尋找修復安全模式的登入檔
來配合計中公布的那套還是解決不了問題的方式!
好了!抱怨完了!
來談工作管理員裡面出現兩個LSASS.exe SMSS.exe!
"真正"中毒的人處理的方式!!!
(而廣告視窗~網路很ㄎㄟˊ很慢~會斷~不在討論範圍裡
因為網管不處理~中毒的人繼續攻擊!我們就得繼續忍受~
除非安裝類似Antiarp等軟體~不然就搬出去宿舍吧!)
當然~!重灌系統是最快 最一了白了的方式
況且依照下面解毒方式解毒完~還得修復登入檔
(因為病毒已經改掉你很多的設定!)
不過下面的解毒方式可以讓你暫時有一個無毒的環境可以備份你還需要的資料
(趨勢新的病毒碼 lpt917 不知道有沒有包含修復登入檔的功能
而我選擇的方式是解毒-->備份--->重灌!!!)
但是重灌的前提是
你得確認你在其他槽備份的程式安裝執行檔(.exe)
[1;33m沒有受到感染!!! [m
否則不管你重灌多少次系統檔!(一般來說是C槽)
當你安裝你過往的應用程式(在其他槽裡面)! 還是會中毒的!
這就是這隻病毒更厲害的地方!!!
(最快的分辨方式是 被感染的安裝執行檔 他的圖示是呈現256色
也就是他比一般的圖示都還要來的醜!!)
接下來的解毒方式
http://bbs.zsu.edu.cn/bbscon?board=Virus&file=M.1198041592.A
大都來自於上面這個網址!
因為是簡體的!又是來自對岸的網址!
(但我開啟的結果是沒有什麼異狀)
但是在這人心慌慌的階段!
我來幫大家節錄重要的幾點
[1;33m解毒本文) [m
於開始--->執行---> 輸入 msconfig
於"一般"選項內 選擇"診斷式啟動"
(此時或許會跳出錯誤 什麼非成是管理者不得變更之類的
不要理他!!真是可惡的病毒!)
接下來 系統會要求你的重新開機~(就重開 = =)
接著
重開時 於 windows 跑馬燈跑完(對xp來說) [1;33m按著 "shift" [m
一直到他開機進去系統 你的桌面已經出現為止
(不放心就再按久一點~)
這時候 你會發現你的工作管理員 處理程序裡面
那兩個LSASS SMSS 程序已經不見
(大寫那個 非小寫以system為名那個)
先再次於開始--->執行---> 輸入 msconfig
選擇正常啟動 (沒有要重開機喔!!!!!!方便等下而已)
接下來可以殺毒了!
因為卑鄙的病毒已經把你查看系統屬性的隱藏檔功能關閉!
因此
在此推薦是利用 winrar 這個壓縮軟體!
用他來當類似檔案管理員的功能
可以看到所有的檔案!!!(不管隱藏或者是系統檔)
因為他是隱藏的!!所以一定得用這樣來看才可以砍!!
(1)
刪除 [1;33m所有硬碟分割槽 [m下面的 Autorun.inf pagefile.pif
接著刪除於系統槽(通常是C) C:\windows\system32\com\ 下面的
lsass.exe smss.exe 以及 [1;33m其他跟他們兩個檔案建立日期一樣的檔案! [m
(2)
然後刪除 於 開始--->所有程式--->啟動 下面的 "~.exe"
(沒錯!!他就叫 "~.exe"
這個直接點左下角進去殺就好 不用用winrar)
接下來可以重開機了!!!
因為基本上毒已經被砍掉!
[1;33m但是! 不包括被感染的程式安裝執行檔! [m
重開機後~
你可以看到之前硬是被關掉的小雨傘或者是卡巴復活了!!!
接著 更新你的 防毒軟體病毒碼資料庫
(我是跑到實驗室用網路 我已經不相信敬三的網路了)
去掃你整部電腦所有的磁碟~
(隨身碟最好弄一下 = =
一樣 插入隨身碟 按著 shift不放便不會執行autorun.inf
砍掉之前所說的 autorun.inf 以及 pagefile.pif
還是什麼 ntdelect.?? 之類的 都是毒 = =)
你會看到非常非常多被感染的程式.....
至此......
要殺要救隨你吧....
因為小弟我功力不足~ 只能砍了這些東西一了白了.................
接著之後~
文末(剛剛那個連結)是有推薦 antiarp 以及 金山 兩套防止arp攻擊的軟體
不過我解毒剛完成
(邊做後續掃毒清潔動作 邊打這篇文章...但是字沒有毒大家不要擔心 = =)
所以 怎麼檔arp還沒去試過...
最後還是希望!
計中能快點遏止!宿舍區域裡中毒的電腦繼續散播病毒!!!
因為這已經嚴重影響到住戶的情緒了!!!
(打完這篇文章 計中應該都已經下班了 = =
下禮拜事逢假期~我實在不敢期望能處理的多快
只能祈求說不定中毒的住戶都回家了~這樣能有短暫的乾淨網路可以用)
住在成大最貴的宿舍裡面!!(雖然網路維修費是一樣的 囧)
誰希望用到的網路品質是最差的!!!
----------------------------------------------------------
唉.........
備份電腦去....... [m
--
[1;44;32m ◢ [0;32;44m◣ [1;37m︵︵ [30m█▔◣ █▔█ █▔▔ █▔█ █▆▉ █ █▔█ █◣█ █▔ [31m● [m [m [m [m [m
[1;32;44m◢ [42m◤ [0;44;32m█◣ [1m◢ [0;32;44m◣ [1;37m︵︵ [0;37;44m█ █ █▁◤ █▁▁ █▁█ ▉▉▉ █ █▁█ █◥█ █ █ [m [m [m [m [m [m [m
[1;36;42m夢之大地 逼逼ㄟ四 [37m█▁◤ █ █ █▁▁ █ █ ▉▉▉ █▁ █ █ █ █ █▁◤ [m [m
[1;32m※ Origin: [33m
※ X-Info: Dalice -> ndark@vision.csie.ncku.edu.tw
※ X-Sign: 13NP7EMACQsciSRF03Vg (08/01/03 16:33:26 )
沒有留言:
張貼留言
您好.本資料庫並非第一手資料.如果你有對文章作者的詢問,意見與需求,請自行找尋文章作者並提供意見,謝謝.