這次的FB惡意連結基本上會有3個步驟(如圖):
1.出現影片畫面(要去點)
2.出現授權畫面(也要點)
3.貼上驗證碼(按ctrl+v)
所以會中獎的人,講好聽一點是心臟很大顆,難聽一點就是沒大腦,看個影片跳出twitter授權畫面不覺得奇怪嗎?
- 3月 17 週日 201317:23
「幹,太失望了!」惡意連結
這次的FB惡意連結基本上會有3個步驟(如圖):
1.出現影片畫面(要去點)
2.出現授權畫面(也要點)
3.貼上驗證碼(按ctrl+v)
所以會中獎的人,講好聽一點是心臟很大顆,難聽一點就是沒大腦,看個影片跳出twitter授權畫面不覺得奇怪嗎?
- 1月 22 週二 201310:28
知識+案例分享 電腦突然被莫名英文網頁鎖住!?
我在瀏覽一些平常都會瀏覽的網站時,突然跳出一個英文的網頁,它說我的電腦被鎖住了,必須用Ukash付款後才會解鎖,當下無法跳出那個視窗,想當然耳,我並沒有遵照它的指示,而是使用系統還原,然後就好了。
我的問題是,為什麼這個網頁會突然出現,我並沒有下載或點擊可疑的網頁啊!一切就是如此突然,而且那個網頁還顯示出我的IP位置,裝的像是某某外國政府機關的網頁,為此我還估狗過資料,但還是不非常清楚,畢竟我瀏覽的並非可疑網頁,卻突然出現這樣的訊息,讓我有點嚇到。到底是為什麼會出現呢?請務必替我解答!!感謝!!!
這種綁架軟體多半無法由正規防毒軟體去解救,根據網路搜尋結果顯示,中文使用者幾乎還沒有人中過標,這位發問者大概是第一個....而這種毒也多半是情色網頁夾帶,這類網頁別以為你常去看就是安全的,安全性沒做好被入侵或配合惡意業者分一杯羹也不是不無可能,顯示IP位置是小菜一碟,網頁語法有寫入顯示IP的機制就會有了,不顯示他也是知道你的IP的。
用UKASH做關鍵字搜尋可以查到已經有相關的解決方案,但很奇怪的是幾乎每次這類型的綁架軟體也都是這類非正規的防毒廠商在發佈解決方案,不禁令人懷疑是不是所謂的『做賊的喊捉賊』,以下是google到的解決方法,雖然不確定是不是同一種類型,但總是可以嘗試看看的。
我的問題是,為什麼這個網頁會突然出現,我並沒有下載或點擊可疑的網頁啊!一切就是如此突然,而且那個網頁還顯示出我的IP位置,裝的像是某某外國政府機關的網頁,為此我還估狗過資料,但還是不非常清楚,畢竟我瀏覽的並非可疑網頁,卻突然出現這樣的訊息,讓我有點嚇到。到底是為什麼會出現呢?請務必替我解答!!感謝!!!
這種綁架軟體多半無法由正規防毒軟體去解救,根據網路搜尋結果顯示,中文使用者幾乎還沒有人中過標,這位發問者大概是第一個....而這種毒也多半是情色網頁夾帶,這類網頁別以為你常去看就是安全的,安全性沒做好被入侵或配合惡意業者分一杯羹也不是不無可能,顯示IP位置是小菜一碟,網頁語法有寫入顯示IP的機制就會有了,不顯示他也是知道你的IP的。
用UKASH做關鍵字搜尋可以查到已經有相關的解決方案,但很奇怪的是幾乎每次這類型的綁架軟體也都是這類非正規的防毒廠商在發佈解決方案,不禁令人懷疑是不是所謂的『做賊的喊捉賊』,以下是google到的解決方法,雖然不確定是不是同一種類型,但總是可以嘗試看看的。
- 1月 16 週三 201310:10
知識+案例分析--首頁綁架.searchqu工具列.iLivid移除
昨天我本來要下載掛載映像檔.但是載點好像被更改了.下載下來的是"iLivid"這個程式.這個程式似乎是個下載程式(也許吧).應該就是這個程式安裝了searchqu工具列.然後searchqu又更改了我的首頁.(本來還被安裝Bandoo.後來被我移除了)
請問我要如何:
1.將首頁改回原本的.並且不再被更改
2.將searchqu工具列移除
3.將iLivid移除
●新增移除程式and清道夫and C槽中找不到searchqu的任何資料夾
●嘗試使用過清道夫移除iLivid.但是沒辦法
●已經使用過Norman Malware Cleaner和防毒軟體 小a 掃描過了 找不到searchqu
●已經使用 Absolute Uninstaller找過了.但是找不到 searchqu或iLivid
●作業系統:Windows XP
●使用瀏覽器:火狐4.0 and IE8 (兩個首頁都被改了)
●防毒軟體:avast (病毒碼已經更新到最新了.找不到 searchqu)
●請勿給我"進入安全模式.安裝防木馬軟體的答案".我爬過文了.也已經試過.沒用
請問我要如何:
1.將首頁改回原本的.並且不再被更改
2.將searchqu工具列移除
3.將iLivid移除
●新增移除程式and清道夫and C槽中找不到searchqu的任何資料夾
●嘗試使用過清道夫移除iLivid.但是沒辦法
●已經使用過Norman Malware Cleaner和防毒軟體 小a 掃描過了 找不到searchqu
●已經使用 Absolute Uninstaller找過了.但是找不到 searchqu或iLivid
●作業系統:Windows XP
●使用瀏覽器:火狐4.0 and IE8 (兩個首頁都被改了)
●防毒軟體:avast (病毒碼已經更新到最新了.找不到 searchqu)
●請勿給我"進入安全模式.安裝防木馬軟體的答案".我爬過文了.也已經試過.沒用
- 1月 16 週三 201301:47
桌面有小廣告不斷出現?
我開機時電腦會自動跑出小廣告,但是不論我怎麼按就是按不到他更別提關掉他。
然後網頁也會自動跳一個一樣是遊戲網頁的視窗,請問我該怎麼處理這樣的問題?
開始>執行>輸入msconfig,在跳出的視窗中點選啟動欄,把裡面的項目全部取消勾選後重新開機試試看!
如果上述方式就能讓你的問題解決,表示那個廣告也是在你同意下伴隨其他軟體而安裝在你的電腦中,你可能必須解除該軟體後重新安裝並詳細觀察安裝過程是否有提示會幫你安裝其他小程式,看不懂的文字(例如亂碼)千萬別勾選。
而上述方法如果無效,你應該就是中了廣告病毒,請用防毒軟體做一次完整的掃描,如果掃不到毒,建議換一套試試看,個人建議使用江民防毒。
- 2月 16 週四 201200:02
epson點矩陣印表機誤判事件
2012年初,江民防毒誤判下列2支檔案為病毒,雖然幾天後已列入排除清單,但將導致Net Logon和Workstation這2個服務被停用且無法再度啟用!而最明顯的影響是在網路芳鄰中將無法看到其他同工作群組的電腦,當然也就無法分享檔案及印表機。
c:\windows\system32\dllcache\mrxsmb.sys
c:\windows\driver cache\i386\mrxsmb.sys
解決方法:
- 6月 01 週二 201003:33
www.k115.net首頁綁架
這是個很怪異的首頁綁架,雖然也有桌面假IE圖示,但輕輕鬆鬆就能拿掉,但桌面上的正常IE開出來仍舊是會跳到www.k115.net ,按下首頁鈕可以正常進入預設首頁,首頁選項也沒有被竄改的痕跡,只是下次開啟依然進入該網站,使用江民病毒記錄發現病毒已清除,但仍無法解決該問題,上網查詢後決定搜尋登錄擋值,輸入k115.net後找到一個很奇怪的位置(HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command),每台電腦或許不一樣地方,也可能可以找到很多個,但只要把其中的"C:\Program Files\Internet Explorer\iexplore.exe"保留,後面的http://www.k115.net 刪掉就可以恢復正常了!
看來桌面假ie又進化囉~
看來桌面假ie又進化囉~
- 2月 23 週二 201001:33
RegEx.fnr MP5放了歌曲卻顯示不出來
問題:
今天剛買了個MP5 一插上電腦一會兒 桌面彈出個提示「您的程序缺少一個名為~正則表達支持庫1.2版~的易語言支持庫,其文件名為RegEx.fnr或RegEx.fne,數字簽名..... 我放了很多歌曲進去卻在MP5裡顯示不出來 請問這是怎麼回事 急。。~~~~~
回答:
這是另一種文件夾圖示病毒,同樣具有Autorun屬性。該病毒是用易語言編寫,運行後會在系統目錄下生成類似XP-8B618895.EXE的病毒副本,其中8B618895是隨機的,並搜索移動設備,生成autorun文件,並根據移動存儲設備根目錄文件夾名生成同名EXE文件,並將原文件夾隱藏起來。另外病毒還會刪除臨時文件及Cookies,刪除IE訪問記錄TypedURL。
生成文件(以系統盤為C碟,winxp Sp3為例,U:\代表usb碟代號)
C:\WINDOWS\system32\XP-8B618895.EXE 1,501,856
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動 任一捷徑指向C:\WINDOWS\system32\XP-8B618895.EXE(注意空格)
U:\autorun.inf
U:\Recycled.exe
在usb碟根目錄生成文件夾圖標同名EXE文件
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
添加註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run XP-8B618895(這裡也是隨機的,根據病毒名生成的不同而變)
查殺方式:
1.下載usbcleaner.並運行其中的foldercure.exe 下載地址:http://wwww.usbcleaner.cn
2.手動查殺:
結束進程
XP-8B618895.EXE(注意名稱不固定,最好用icesword,其圖標是文件夾容易區分)
依次刪除
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動 中的捷徑指向C:\WINDOWS\system32\XP-8B618895.EXE者(注意空格)
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
刪除病毒啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
XP-8B618895(此處根據病毒名稱而定)
手動刪除U盤根目錄的文件夾圖標同名EXE文件
今天剛買了個MP5 一插上電腦一會兒 桌面彈出個提示「您的程序缺少一個名為~正則表達支持庫1.2版~的易語言支持庫,其文件名為RegEx.fnr或RegEx.fne,數字簽名..... 我放了很多歌曲進去卻在MP5裡顯示不出來 請問這是怎麼回事 急。。~~~~~
回答:
這是另一種文件夾圖示病毒,同樣具有Autorun屬性。該病毒是用易語言編寫,運行後會在系統目錄下生成類似XP-8B618895.EXE的病毒副本,其中8B618895是隨機的,並搜索移動設備,生成autorun文件,並根據移動存儲設備根目錄文件夾名生成同名EXE文件,並將原文件夾隱藏起來。另外病毒還會刪除臨時文件及Cookies,刪除IE訪問記錄TypedURL。
生成文件(以系統盤為C碟,winxp Sp3為例,U:\代表usb碟代號)
C:\WINDOWS\system32\XP-8B618895.EXE 1,501,856
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動 任一捷徑指向C:\WINDOWS\system32\XP-8B618895.EXE(注意空格)
U:\autorun.inf
U:\Recycled.exe
在usb碟根目錄生成文件夾圖標同名EXE文件
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
添加註冊表啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run XP-8B618895(這裡也是隨機的,根據病毒名生成的不同而變)
查殺方式:
1.下載usbcleaner.並運行其中的foldercure.exe 下載地址:http://wwww.usbcleaner.cn
2.手動查殺:
結束進程
XP-8B618895.EXE(注意名稱不固定,最好用icesword,其圖標是文件夾容易區分)
依次刪除
C:\WINDOWS\system32\ul.dll 2,404
C:\WINDOWS\system32\og.dll 692
C:\WINDOWS\system32\com.run 270,336
C:\Documents and Settings\使用者名稱\「開始」功能表\程式集\啟動 中的捷徑指向C:\WINDOWS\system32\XP-8B618895.EXE者(注意空格)
以下是易語言的庫文件等:
C:\WINDOWS\system32\dp1.fne
C:\WINDOWS\system32\eAPI.fne
C:\WINDOWS\system32\internet.fne
C:\WINDOWS\system32\krnln.fnr
C:\WINDOWS\system32\RegEx.fnr
C:\WINDOWS\system32\shell.fne
C:\WINDOWS\system32\spec.fne
刪除病毒啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
XP-8B618895(此處根據病毒名稱而定)
手動刪除U盤根目錄的文件夾圖標同名EXE文件
- 11月 05 週四 200919:04
啟動 Windows XP 時,『 安全性帳戶管理員初始化失敗』?
下面是微軟支援網站查到的訊息:http://support.microsoft.com/kb/316751/zh-tw
啟動您的 Windows XP 主版或 Windows XP 架構的電腦時您可能會收到下列錯誤訊息:
啟動您的 Windows XP 主版或 Windows XP 架構的電腦時您可能會收到下列錯誤訊息:
安全性帳戶管理員初始化失敗,因為發生下列錯誤: 連接到系統的裝置沒有作用。
錯誤狀態: 0xc0000001。
請按一下 [確定] 關閉這個系統進入安全模式重新開機,請檢查事件日誌以取得詳細資訊。
錯誤狀態: 0xc0000001。
請按一下 [確定] 關閉這個系統進入安全模式重新開機,請檢查事件日誌以取得詳細資訊。
- 10月 15 週四 200923:41
用幾張圖來看新型隨身碟病毒!
一.用winrar先看一下d磁碟根目錄,很明顯可以看出病毒的存在,但這次案例卻少了平常的 bat com副檔名病毒!
二.c磁碟根目錄下有著同樣的病毒存在!沒圈起來的部份以經驗判斷均非病毒,系統檔案平常多看幾次幾乎都能正確判斷!
