|
2013-07-20, 10:41 PM
|
#1 |
|
長老會員
 
|
疑問 - 關於win32 alman
-------------------- 閱讀本主題的最佳解答 -------------------- 這兩天防毒軟體"忽然"發瘋似的一直出現感染 win32 alman病毒,之前都沒有,有人遇過這問題嗎? 系統 xp sp3 防毒 avast 4.8 剛剛換了 avg free 2013 也是狂提示並自動殺了我一些軟體檔案  受不了了,剛剛將防毒先暫時通通移掉,在想辦法  |
|
送花文章: 26724,
|
|
2013-07-20, 11:24 PM
|
#2 (permalink) |
|
管理員
 
|
有些是破解機、破解檔、免費軟體 ... 容易被當成病毒 ...
|
|
__________________ 在「專業主討論區」中的問題解決後,要記得按一下  按鈕喔,這是一種禮貌動作。  一樣是在「專業主討論區」中發問,不管問題解決與否,都要回應別人的回答文喔。 不然搞 [斷頭文],只看不回應,下次被別人列入黑名單就不要怪人喔。 天線寶寶說再見啦~ ... 天線寶寶說再見啦~ 迪西:「再見~ 再見~」 『 Otaku Culture Party 』 關心您 ... 
|
|
|
|
送花文章: 37855,
|
|
2013-07-21, 10:59 AM
|
#5 (permalink) | |
|
長老會員
|
引用:
不過AVG也一直跳出win32 alman 但找不到設定,我直接就砍了,晚點在換別的試試 |
|
|
|
送花文章: 26724,
|
|
2013-07-21, 11:24 AM
|
#6 (permalink) | |
|
管理員
|
引用:
有些防毒軟體會區分成自動檢測的部份、跟手動檢測的部份 如一些影片檔、音樂檔、壓縮檔、光碟映像檔、Ghost 備份檔 ... 自動檢測的部份,會設定排除 ... 手動檢測的話,就只有影片檔、Ghost 之類的備份檔會設定排除 ... 有些有沙盒防護的,這部份也有另外的排除設定 ... 因為這類的檔案是,不會主動感染作業系統,有些部份是加上檔案太大 ... 一但進行檢測,容易拖垮系統的效能 ... 壓縮檔、光碟映像檔,可以使用手動檢測就好,主要這是從網路下載的 ... 使用上比較有中毒的機會 ... 如一些較特別的媒體檔案,如 RM 檔,因為會被埋入超連結,所以會讓 手動/自動檢測,不做例外排除 ... Ghost 之類的備份檔,不是每一種防毒軟體都可以檢測,可以建議排除 ... 以加速系統在全系統掃描的效率 ... 如系統有標記的可執行檔的種類,如 CMD 環境設定中的 PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH 及一些可被瀏覽器執行的檔案 ... 一定要加入手動/自動檢測/沙盒 ... 等防護項目,因為可被執行,就有機會中毒的風險 ... 當確認不是病毒之後,在做例外排除就好了 ... 某些下載的檔案,最好不要看檔案圖示,要看檔案最後一個有小點副檔名(需顯示所有 副檔名),如 AA.rar.exe 那個最後的 .exe 才是可執行檔的真面目,有些病毒,會用圖片、媒體、壓縮檔的圖示 做表面偽裝,使其看起來不像是執行檔 ... 當點兩下就有機會中了 ... 若不想看副檔名的話可以,執行前先以防毒軟體的手動檢查,先檢查,不過有些病毒是 檢查不出來的 ... |
|
|
|
送花文章: 37855,
|
|
2013-07-21, 09:17 PM
|
#8 (permalink) | |
|
版區管理員
 
|
引用:
|
|
|
__________________ 台灣免費綠色免安裝軟體及專業的軟體中文化下載網站 - 中文化天地網, 專門提供可攜式綠色免安裝軟體、軟體中文化下載, 所提供的中文化軟體大多為「丹楓」個人所中文化且大多免費。 網址:http://zhtwnet.com |
||
|
|
送花文章: 3146,
|
|
2013-07-21, 09:45 PM
|
#9 (permalink) | |
|
管理員
|
引用:
以前迪西為了測試某些設計的程式時,會寫一些亂數資料產生器 ... 如電子郵件、人名、地址產生器之類的 ... 自己知道程式本生沒有問題,但是防毒軟體卻會是一直認為那個程式執行檔有問題 ... 還有一次是使用 WinRAR 測試製作 自解安裝檔時,結果壓縮的檔案內容、壓縮率的關係 就被防毒軟體當成病毒,後來好像是改變一些檔名、壓縮率 ... 就好了 ... 有此可知,防毒軟體可能會對於某些類似而不是的執行檔當成病毒 ... 據說 AVAST、AVG 都有過某次更新有七笑 ... 亂判定亂刪檔導致系統掛掉或是網路掛掉 ... 都有出補救的方法與更新檔 ... 就看看這次 AVAST 是不是也是如此了 ... 因為迪西也是用 AVAST Homeedit 版本 ... 沒有啥怪問題說 ... 知道會誤判的檔案,也都有設定某種排除的公式給予使用 ... 比方說 用某個資料夾方這些會被誤判的程式、檔案,再把這個資料夾給予排除 ... 此外會用 WinRAR 打包一份並加上密碼做保險預防誤判被刪除 ... |
|
|
|
送花文章: 37855,
|
|
2013-07-21, 10:02 PM
|
#10 (permalink) |
|
版區管理員
|
底下為小弟查到的一些資料,供大家參考。 病毒 Virus.Win32.Alman.b 是病毒 Virus.Win32.Alman.a 的變種。此病毒每感染一個檔,病毒碼就會變一次,防毒引擎想透過特徵碼查殺來修復被感染的檔,困難重重。因此,到目前為止,還沒有發現哪個防毒軟體能夠修復被 virus 感染的 EXE,只能選擇隔離。 卡巴發現 Virus.Win32.Alman.a 病毒,目前卡巴可以清除病毒,保留檔。建議大家將卡巴斯基的主動防禦保護全部開啟,特別是啟用登錄檔防護和程式完整性保護。 中此病毒的系統,將會很慘,可能不得不備份文件後重裝系統。 提醒使用者及早升級防範 virus 病毒,如果不幸中招,可根據受損程度處理。如果系統 EXE 破壞嚴重,可以採用備份進行還原,沒有備份的情況下,覆蓋安裝可以最大程度減少損失。實在不想麻煩,可以將機子停用個把星期的時間,然後升級病毒庫,再查殺,說不定一切迎刃而解了。 這個病毒使用的加密引擎來自波蘭,那個 IRC 伺服器功能變數名稱為 proxim.ircgalaxy.pl,貌似也是波蘭的功能變數名稱。 行為 該病毒的其它行為: 感染尾碼為:EXE 和 SCR 的可執行檔: 如果檔案名以下面的開始,則不感染 WINC WCUN WC32 PSTO 連接 IRC 伺服器: proxim.ircgalaxy.pl ------------------------------------------------------------------------------------- Win32/Almanahe.b 病毒特性: Win32. Almanahe.B 是一種透過網路共用複製的病毒。它在系統上安裝一個 rootkit,下載並執行任意檔。 感染方式: 當一個被感染檔執行時,Almanahe.B 生成檔案到以下位置: %Windows%\linkinfo.dll %System%\drivers\RioDrvs.sys %System%\drivers\DKIS6.sys DLL 檔被有意截取調用到一個乾淨的系統 DLL 檔 %System%\linkinfo.dll。當 linkinfo.dll 的一個API功能透過任意程式被調用時,在調用原始 DLL 中被請求的功能之前,Almanahe 啟動很多執行緒來執行它複製的代碼。被感染檔還會注入很多執行緒到 explorer.exe 程式來調用這個複製代碼。 兩個 SYS 檔 RioDrvs.sys 和 DKIS6.sys 是一樣的。RioDrvs.sys 作為一個服務被安裝,服務的名稱為"RioDrvs",DKIS6.sys 載入到 kernel memory 中,然後刪除這個檔。 注:'%System%'是一個可變的路徑。病毒透過查詢作業系統來決定當前系統資料夾的位置。Windows 2000 and NT 預設的系統安裝路徑是 C:\Winnt\System32; 95,98 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System32。 傳播方式 通過檔感染進行傳播 Almanahe 感染系統中以 .exe 為副檔名的檔。 它不會感染包含以下字串的目錄中的檔: :\WINNT\ :\WINDOWS\ LOCAL SETTINGS\TEMP\ 病毒避免感染以下名稱的檔: .exe asktao.exe au_unins_web.exe audition.exe autoupdate.exe ca.exe cabal.exe cabalmain.exe cabalmain9x.exe config.exe dbfsupdate.exe dk2.exe dragonraja.exe flyff.exe game.exe gc.exe hs.exe kartrider.exe main.exe maplestory.exe meteor.exe mhclient-connect.exe mjonline.exe mts.exe nbt-dragonraja2006.exe neuz.exe nmcosrv.exe nmservice.exe nsstarter.exe patcher.exe patchupdate.exe sealspeed.exe trojankiller.exe userpic.exe wb-service.exe woool.exe wooolcfg.exe xlqy2.exe xy2.exe xy2player.exe zfs.exe zhengtu.exe ztconfig.exe zuonline.exe 病毒還會感染系統中其它可利用的網路共用。 還要注意遠端機器 C: 槽 Windows 目錄名為 EXAMPLE 的路徑: \\EXAMPLE\C\WINDOWS\ 以上路徑不包括冒號。遠端系統的 %Windows% 目錄和子目錄中的檔都將被感染。 它嘗試使用管理員帳戶弱口令進入被感染系統安裝並啟用病毒。它可能複製到 C:\Ins.exe,並作為一個服務安裝。以下是它嘗試的密碼: zxcv qazwsx qaz qwer !@#$%^&*() !@#$%^&*( !@#$%^&* !@#$%^& !@#$%^ !@#$% asdfgh asdf !@#$ 654321 123456 12345 1234 123 111 admin 危害 下載並執行任意檔 Almanahe.B 為使用者預設的瀏覽器生成一個新程式,並將病毒代碼注入程式中,允許它發送系統資訊到以下網站,並從以下網站下載檔案: tj.imrw0rldwide.com. soft.imrw0rldwide.com 允許它下載一個 DLL 檔和其它的惡意程式。如果更新的 DLL 檔是可利用的,就會保存到%Windows%\AppPatch\apphelps.dll.update。隨後被移動到%Windows%\AppPatch\apphelps.dll,替換以前的同名檔。這個 DLL 中包含很多命令。 它還下載一個檔,其中包含一個 URL 清單,用來獲取檔。這些檔使用相同的檔案名被保存到%Temp%目錄,隨後執行這些檔。 這些檔的版本資訊可能記錄在: HKLM\Software\Adobe\Version 同時下載的檔是 Lemir family 病毒的一個變體。 終止進程 如果以下進程正在執行,Almanahe.B 就會嘗試終止它們,並刪除與它們相關的檔: c0nime.exe cmdbcs.exe ctmontv.exe explorer.exe fuckjacks.exe iexpl0re.exe iexplore.exe internat.exe logo1_.exe logo_1.exe lsass.exe lying.exe msdccrt.exe msvce32.exe ncscv32.exe nvscv32.exe realschd.exe rpcs.exe run1132.exe rundl132.exe smss.exe spo0lsv.exe spoclsv.exe ssopure.exe svch0st.exe svhost32.exe sxs.exe sysbmw.exe sysload3.exe tempicon.exe upxdnd.exe wdfmgr32.exe wsvbs.exe 其中幾個檔案名被其它病毒利用。 Rootkit 功能 Almanahe.B 的 rootkit 功能顯示為隱藏檔、登錄機碼和與病毒相關的程式資訊。 ------------------------------------------------------------------------------------- 建議用 http://forum.slime.com.tw/thread273912.html 來殺看看。 |
|
|
送花文章: 3146,
|
|
2013-07-21, 10:59 PM
|
#11 (permalink) | |
|
管理員
|
引用:
使用上要注意 ... |
|
|
|
送花文章: 37855,
|
 |
|
|
相似的主題
|
||||
| 主題 | 主題作者 | 討論區 | 回覆 | 最後發表 |
| 什麼是Win32.Bacros.a | slion849 | 軟體應用問題討論區 | 2 | 2004-09-22 11:47 PM |
| Trojan.Win32.Pakes | tracn | 一般電腦疑難討論區 | 1 | 2004-09-07 02:27 PM |
| Worm.Win32.Padobot.n!! | kinco | 一般電腦疑難討論區 | 3 | 2004-08-16 12:33 PM |
| win32.sys | ILMK | 軟體應用問題討論區 | 2 | 2003-04-19 11:44 PM |
平板模式
