PTT數位生活區 / AntiVirus (防毒)

[求救] 掃出 Win32.Delf.uv

看板AntiVirus (防毒)作者 (Day)時間16年前 (2010/05/19 12:38), 編輯推噓3(3011)
留言14則, 2人參與, 最新討論串1/1
1. 敘述問題: 開啟檔案後,檔案內的內容一直無法照設定的"依類型方式排列" 明明資料夾內為mp3檔,資料夾按右鍵選項卻是依圖片大小排列... 用Spybot - Search & Destroy掃到Win32.Delf.uv HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rising.EXE\Debugger 版上Win32.Delf.uv沒太多討論,這可以刪掉嗎? 2. 系統資料: 使用的作業系統:Windows XP 使用的防毒軟體:小紅傘 3. 分析報告: Combofix: http://sun.cis.scu.edu.tw/~92a39/upload/39491.txt Hijackthis: http://sun.cis.scu.edu.tw/~92a39/upload/39492.txt SRENG : http://sun.cis.scu.edu.tw/~92a39/upload/39493.txt -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.170.9.147
05/19 16:00, , 1F
把driver裡的catchme和它帶的%temp%\catchme.sys砍了重開
05/19 16:00, 1F
05/19 16:01, , 2F
重開看有沒有再生再切渴一下病情有沒有好轉,另外IFEO底下
05/19 16:01, 2F
05/19 16:01, , 3F
的東西可以先匯出再刪是OK的
05/19 16:01, 3F
05/19 19:01, , 4F
catchme.sys是Combofix的東西
05/19 19:01, 4F
05/20 14:32, , 5F
那砍掉也沒差吧XXD 我都習慣砍它耶@.@
05/20 14:32, 5F
05/20 15:05, , 6F
請問J大driver:catchme是在什麼情況下才會產生呢?
05/20 15:05, 6F
05/20 15:56, , 7F
跑過COMBOFIX就會有,當然被防毒擋掉的話就不算,砍掉沒差.
05/20 15:56, 7F
05/20 18:05, , 8F
剛沒關防毒就跑了combofix難怪沒有,晚點再試一次,謝J大^^
05/20 18:05, 8F
05/21 10:39, , 9F
恩..catchme好像原本是GMER用來掃rootkit的程式 ?
05/21 10:39, 9F
05/21 10:39, , 10F
之所以有那個驅動 不知道是不是為了提升刪除檔案的權限?
05/21 10:39, 10F
05/21 11:51, , 11F
基本上算是,不過在這邊的話CF刪檔案是走ring 3 去破壞檔案
05/21 11:51, 11F
05/21 11:51, , 12F
之後再用一般方式刪檔案,所以不會載驅動,但是後面的root
05/21 11:51, 12F
05/21 11:52, , 13F
kit掃描就會載入驅動,之前測的印象是這樣後來有沒有改就不
05/21 11:52, 13F
05/21 11:52, , 14F
清楚。
05/21 11:52, 14F
更多 citronnelle 的文章
文章代碼(AID): #1Bysj3SA (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 citronnelle 的文章
文章代碼(AID): #1Bysj3SA (AntiVirus)