一.用winrar先看一下d磁碟根目錄,很明顯可以看出病毒的存在,但這次案例卻少了平常的 bat com副檔名病毒!

2009101501 

二.c磁碟根目錄下有著同樣的病毒存在!沒圈起來的部份以經驗判斷均非病毒,系統檔案平常多看幾次幾乎都能正確判斷!

2009101502 

三.在system32資料夾下則是照慣例的dll病毒!

2009101503 

四.前陣子常見的uret463.exe跑到C:\Documents and Settings\Administrator\Local Settings\Temp下了(大約3個月前就變成這個位置了)

2009101504 

五.以目視法抓了幾隻樣本用江民樣本庫下去掃,可以看到病毒已經入侵系統還原區了,平常還是把系統還原關掉比較好!

2009101505 

六.下圖可以看到,進系統還原區的病毒會改變名稱,即使名稱不變,正常來說還原區也是無法用檔案總管開啟的!這對一些比對病毒位置及名稱的專殺軟體來說,保證解不掉也殺不了!

2009101506 

七.殺樣本的結果,江民可以在不關閉還原功能的情況下清掉當中的病毒!

2009101507 

我相信病毒出現後,大多數的防毒軟體幾乎都能在數天~數周之內取得樣本解析並加以清除,但要找到像江民一樣,能利用經驗及其工具就先把病毒幹掉的防毒,實在是沒見過啊!

這台電腦在經過我細心整理之後,無須重新安裝作業系統即可順利返回工作崗位,工作時間約30分鐘還包含清除使用外掛導致的木馬,客人滿意度可想而知!!

當然!賣出一套正版江民是理所當然的囉~

arrow
arrow
    全站熱搜

    闇黑惡魔 發表在 痞客邦 留言(0) 人氣()