Re: 電腦一直重新開機

看板AntiVirus (防毒)作者kkmin (K平方最小值)時間19年前 (2005/07/25 15:11)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

應該是rdriv.sys沒清乾淨喵的...rootkit就是這麼煩 rootkit型的木馬很會隱藏自己由於我自己沒接觸過這一型的木馬，以下的解法也只是參考同是rootkit型的 NTrootkit的解法來試試，就死馬當活馬醫醫看吧... 事先準備： TCPView，可以將目前正在與電腦連線的程式、對方IP、使用port顯示出來到此下載：http://www.sysinternals.com/Utilities/TcpView.html 不必安裝，直接執行就可以了。程式初始字體很小'又都擠在一起 Options->Font 去改變字型、字體大小，設好後關掉重開就可以了 1.執行TCPView，看看目前有那些程式正在連線 (執行此程式時請盡量關掉不相干的連線程式) 2.此木馬有rdriv.sys，小弟猜測可能用系統服務來啟動，執行。在TCPView中，請詳細檢查System4及local adress的部份，看看有沒有那個程序的State是ESTABLISHED ，而portocal是TCP的。(偵測到rdriv.sys時應該會顯示某程序將使用某些port進行連線，將該port記下，仔細在TCPView中找出該port) 如果都沒有，那也不用往下看了，表示此木馬用其他方式隱藏自己 3.中斷與Internet的連線及區網的連線。再到網芳中，把區域連線停掉。 4.防毒軟體既然有偵測到rdriv.sys，那應該有留下紀錄，開啟偵測到rdriv.sys的軟體 (可能是防火牆、可能是防毒軟體)，並找出軟體所呈現的資訊包括檔案名稱，版本、檔案位子所在。用軟體把找到的檔案給擋下(block) 5.重開進入windows，開始->控制台->系統管理工具->服務若上述講的都有的話，應該會出現之前沒看過的項目，在此想像名稱是rdriv，描述為 Windows system rdr server 啟動類型為自動。 6.有看到該項目的話，就開啟登錄編輯器來刪除機碼用搜尋找rdriv 把相關的機碼全部砍掉。(保險起見，也搜搜Rtkit試試) 上面寫搜尋rdriv是因為我沒遇過此木馬，所以是想像該木馬在服務啟動項目中的名稱，實際搜尋時請以顯示出的名稱為主 7.機碼刪光後，再把c槽裡有關木馬的資料夾刪掉。 -- 再澄清一次，以上是參考同類型的NTRootKit的解法若在步驟中有出現不符的狀況，表示以上所寫全都沒用，就不用再做下去了請有中rdriv.sys的版友試試，若沒用的話請噓文告知，小弟一看到會馬上自d -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.114.142.52