鐵之狂傲

 取回密碼
 註冊
搜尋
最後更新
返回清單 發表主題
列印 上一主題 下一主題

Pwsteal.trojan木馬的處理方法

[複製連結] 檢視: 17536|回覆: 1

凱文一直跑

切換到指定樓層
1#
發表於 04-9-21 11:43:10 |只看該作者 |降序瀏覽 大字 中字 小字 正體化 简体化
各位大大
這封信是小弟的朋友轉給我的,給大家參考。
小弟轉給我們公司的MIS,測試後果然可以移除,所以分享給大家參考囉。
----------我是分格線-----------------------------------
這一兩天... 公司同事 的諾頓病毒通報視窗
一直顯示了 C:\windows\system32\ct1dll.dll 中ㄌpwsteal.trojan
證實中了 木馬病毒,而且是專盜使用者Keyin 的帳號密碼

本人在網路上 尋找... 但大部份都是拼湊的處理結果
尤其 公司的電腦系統使用的大多為 WIN98SE ,這方面解決的方法不多...
所以 除了找找資料,本人必須自己想辦法來處理..
不過也證實此檔非系統使用可以刪除

一般處理都會 同時按下 [CTRL]+[ALT]+[DEL] 開啟關閉視窗
來查查有無不正常開啟的檔案... 來了解病毒有無一開機執行
然而...我並沒有發現.... (有點失望與頭大)

首先在發現病毒無法刪除... 一定是被定為正在使用的檔案.. 那有可能是動態連結檔
在DOS下刪除該病毒... 開機後...病毒又出現...
該檔案 殺了又生... 就可以了解.. 該病毒不斷被複製
合理懷疑有人在利用動態連結檔去不斷生成病毒...
而動態連結檔... 主要為 RUNDLL32.EXE
所以 我就先搜尋該檔.. 發現在 Windows 目錄的檔案 約為60K
但是 圖示卻顯示為 筆記本的圖示,就可以知道... 這個一定不是原始檔案..
回到座位... 找尋自己的電腦下的 RUNDLL32.EXE 卻為 24K的檔案...
更確定為 該檔案為病毒複製檔... 為了產生 Ct1dll.dll 這個木馬
而真正的 RUNDLL32.EXE 原始檔...一定被移往他處
( 因為系統開機需要這個檔案..不可能將它刪除)
於是我回到DOS下.. 把自己原始RUNDLL32.EXE 的檔案 複製給中毒機台..
而且刪除了 Ct1dll.dll ,再重新開機.....

沒想到...操作一會兒.. 該病毒視窗又出現了....
我去搜尋 RUNDLL32.EXE 發現並未感染... 直覺上就知道... 還有別的病毒複製檔在作怪
想想 動態連結 還有一個檔案也很可疑 INTERNAT.EXE
這次我將搜尋的範圍加大... 於是找到兩個 INTERNAT.EXE 其中一個為 筆記本的圖示
不用說...一定是病毒生成檔..及將INTERNAT的路徑指向修改...
另一個在C:\Program Files\
果然... 在這裡 我找到兩個原始檔 一個為 INTERNAT.EXE 一個為 RUNDLL32.EXE
在DOS下 把它們複製回去... 並刪除 CT1DLL.DLL 的病毒.. 解決了這次的病毒 

-------------------------------------------------------------------------

前面的 是我處理的狀況... 有點怪... 我再重整...教大家最簡單的解決方法...

1. 搜尋 INTERNAT.EXE & RUNDLL32.EXE
2. 確定 C:\WINDOWS\RUNDLL32.EXE & C:\WINDOWS\SYSTEM\INTERNAT.EXE
圖示為筆記本圖示
3.確定C:\Program Files\ 有INTERNAT.EXE & RUNDLL32.EXE 這兩個檔案
4. 將WINODWS98SE 關機.. 選擇 [重新開始在MS-DOS 狀態]
5. COPY C:\Program Files\INTERNAT.EXE C:\WINDOWS\SYSTEM
6. COPY C:\Program Files\RUNDLL32.EXE C:\WINDOWS\RUNDLL32.EXE
( 請確定 複蓋過去)
7. DEL C:\WINDOWS\SYSTEM\CT1DLL.DLL
8. 重新開機.....................

以上轉載至巴哈姆特

上面這個木馬很兇,也是小弟中的,很厲害的是諾噸跟趨勢都掃不出來,唯一有掃的出來的有熊貓白金
AD AWARE,和F SECURE,問題是掃的出來不代表殺的掉他,我最後也只是用F SECURE將他RENAMED,目前為止我都殺不掉他,他太會躲了,而且很多人中了他都不會發現

上面的文章是巴哈某位大大刪除他的方法,不過系統為98SE,目前大家因該都是XPsp1 或 sp2
不知道有沒有辦法殺掉這個木馬,實在不想重灌啊
 
[font=Arial Black][color=cyan][/color][/font]
轉播0 分享0 收藏0

回覆 使用道具 檢舉

凱文一直跑

2#
發表於 04-9-21 11:52:28 |只看該作者 大字 中字 小字 正體化 简体化 載入全部圖片

回覆: Pwsteal.trojan木馬的處理方法

對了,有大大知道這個木馬是單純的鍵盤記憶型態,還是有記憶滑鼠位置?
目前我只在用錯位輸入帳號跟密碼來做防盜,如果他有記憶滑鼠,那我早晚會死

By the way
我很久以前就建議過用隨機小鍵盤來輸入帳號密碼,就是由官方提供再每次登入畫面
出現一個在電腦螢幕上的小鍵盤(用滑鼠點的那種)而且排列是隨機的,每次都不一樣
這樣一定很安全,為甚麼~?為甚麼~他們不採納呢
 

回覆 使用道具 檢舉

最後更新 返回清單 發表主題
進階模式
B Color Image Link Quote Code Smilies
你需要登入後才可以回覆 登入 | 註冊

存檔|手機版|聯絡我們|新聞提供|鐵之狂傲

GMT+8, 24-10-24 07:34 , Processed in 0.017951 second(s), 15 queries , Gzip On.

回頂部