Re: [中毒] LSASS.EXE的問題

看板AntiVirus (防毒)作者gummybears (科科)時間17年前 (2007/12/23 22:40)推噓3(3推 0噓 0→)

留言3則, 3人參與討論串3/3 (看更多)

小弟上一篇文裡有很多地方沒有說明的很清楚沒辦法，因為如果打太多大概沒人想看完吧 (雖然還是打了很多...哈) 1. 為何lcjjaff大回的刪除方法無效？其實lcjjaff大的清除方式是正確的，但是由於17727中病毒已透過網路下載了dnsq.dll這個檔案，這個檔案會監控LSASS.EXE進程是否被關閉，如果檢查到被關閉則重新啟動該進程，如果無法啟動則會直接關機來避免被刪除，因此使用OTMoveIt時會自動關機。而小弟由於擁有缺乏耐心這個優點(？)，因此還沒等dnsq.dll這個檔案下載完就開始進行刪除，所以沒有這個問題另外該病毒會持續監控註冊表，因此如果在病毒進程啟動的情況下修復安全模式會馬上再次被破壞，故想利用先修復註冊表再進入安全模式的方式無效 2. 如果下載檔案時出現下載setup.exe的情況是否代表中毒了？這個問題無法給一個明確的答案，因為會出現下載setup.exe只能表示在你所在的區網內有人中了這隻病毒，然後該病毒透過ARP欺騙，在截取到的封包內插入惡意代碼，使區網內的使用者連至h**p://121.15.220.104下載setup.exe，因此和使用者是否中毒並沒有必然的關係 3. 至於cscxc大所提到的ARP欺騙的問題小弟想說明一下，這隻病毒"本身"其實是不會進行ARP欺騙的，而是在使用者中毒之後透過網路至遠端網站下載的惡意程序才會有這個行為，因此中毒之後早一點開始刪除病毒也可以減少區網內其他使用者中毒的機率 4. 該病毒感染應用程式的範圍僅限"邏輯磁區"，因此在刪除病毒之後如果只使用系統磁區內的應用程式的話是不會再次感染的，當然前提是你運行的並不是原本讓你中毒的那個病毒執行檔... -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.166.26.236