|
|
发表于 2006-10-17 13:38:36| 字数 1,330| - 中国–广东–中山 电信
|
显示全部楼层
|阅读模式
做好人要做到底,我把Avira AntiVir PersonalEdition Classic下载链接写上,方便大家找吧
Avira AntiVir PersonalEdition Classic下载 在底下了。
最近有一客户,他们是用光纤接入,用的是cisco的路由器,业务多数通过网络与总部服务器连接操作.
上周三开始发现上外网经常变得很慢,重启一下路由好一会几,但很快就又变得很卡,
他们安装的symantac企业版检查不出有病毒,但有的电脑有隔离木马的反应,但不知道源头,也不能杀毒,,Nod32也检查不出,更不用什么说X星,X民杀毒软件了.
经过分析,路由器变慢是由于受ARP攻击,(Arp伪装病毒),我在一台没中毒的机器上安装AntiARP3.5,发现有6台机器在伪装ARP攻击,当然上网超慢啦.
中毒的机器上面的表现是,自动下载攻击升序:svch0st.ex并运行,放在%system%temp\目录和ie临时文件夹,还有多个不明的EXE文件和I.dll,Win1B0.exe,....packet.dll,pthreadVC.dll等,手工结束svch0st.exe,删除这两个文件夹下的文件,好了一会儿,但过几分钟又自动出现了,并又运行了svch0st.exe,
关闭所有Ie窗口用Icesword看到里面有Ie的进程,但是文件名与路径看不出问题,用所有杀木马程序检查不出源头,再试用诺顿最新版检查,也没有发现,他们总公司的IT部门也没有任何办法(超大的上市公司),时间就这样过了三四天,我想再找不出毒就要重新系统了,后来想到了一下临时的解决办法,就是先删除那些病毒文件,在两个Temp文件下建立与病毒名同名的文件夹如svch0st.exe,等,要建好多个文件夹啊,但是没有办法,并设置为只读隐藏.这样病毒文件不能传送过来并不能运行了,这样就能保证网络的畅通了,但是病毒传送的后门程序和svch0st.exe是什么东西还是没办法找到.
到周日晚上,看到一下相当重要的网页,就是http://www.virustotal.com/en/indexf.html,
这是个提交病毒样本并立刻调用各种杀毒软件检测,立刻给出各种杀毒软件的检测结果的网页,我把svch0st.exe和其余的可疑文件提交上去,好了,立刻有了结果,图片在下面
根据结果的提示,我下载了Avira AntiVir® PersonalEdition Classic安装到他们的电脑杀毒,结果就是病毒一大堆,问题的根源找到了,辛苦了多天,解决了问题,心情舒畅.
再写个提醒,如果杀毒后发现网络连接出问题,可以用winsockfix.exe这个程序作网络协议的修复。
我写以上的经历,希望可以给大家一点经验,能够帮到大家当然最好,还有要批评一下一些杀毒软件,反应太慢,这种病毒已经造成无数的专业路由器瘫痪了,竟然还查不出是什么原因!
Avira AntiVir PersonalEdition Classic
[ 本帖最后由 大花洒 于 2006-10-18 18:54 编辑 ] |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?注册
x
|
狗仔卡
离线
提升卡
置顶卡
变色卡
