广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 15359 个阅读者
04:00 ~ 4:30 资料库备份中,需等较久的时间,请耐心等候
 
<<   1   2  下页 >>(共 2 页)
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
MaverickWu 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 终身成就奖
头衔:~~Doctor Mike Whiskey~~~~Doctor Mike Whiskey~~
风云人物
级别: 风云人物 该用户目前不上站
推文 x2 鲜花 x470
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[病毒蠕虫] arcsetup.exe和arcldr.exe会造成2000挂点?

这是我医院门诊碰到的情况。
今天晚上,门诊电脑突然好几台都过了POST画面后,就挂了。
资讯室工程师紧急抢修,发现中毒(?)的电脑都有arcsetup.exe和arcldr.exe,而且更重要的是,这两个档案ICON都被改成一只熊猫拿三炷香......

这是啥怪东西啊?听他们说,TREND、SYMANTEC、KASPERSKY都没有发现这种东西~



~只要是药,管你中药西药,对症叫下药,不对症叫下毒~
~~小弟的BLOG:http://tw.myblog.yahoo.co...ikeWhiskey
~~欢迎大家指教!!
献花 x2 回到顶端 [楼 主] From:台湾 | Posted:2006-12-26 20:34 |
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

那两个是木马吧~

应该是有木马藏在
%systemroot%\winnt\system32\xydll.dll
%systemroot%\winnt\system32\ztdll.dll

处理序中有 svchost32.exe

Root根目录有arcsetup.exe and arcldr.exe吧..

处理方法,进入安全模式作了他...

确保电脑安全,勿点选不明档案或网址
献花 x0 回到顶端 [1 楼] From:台湾中华电信 | Posted:2006-12-26 21:29 |
MaverickWu 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 终身成就奖
头衔:~~Doctor Mike Whiskey~~~~Doctor Mike Whiskey~~
风云人物
级别: 风云人物 该用户目前不上站
推文 x2 鲜花 x470
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用lens690于2006-12-26 21:29发表的 :
那两个是木马吧~

应该是有木马藏在
%systemroot%\winnt\system32\xydll.dll
%systemroot%\winnt\system32\ztdll.dll
.......
这两个倒是没有,不过根目录下有个隐藏的Autorun.inf......
刚刚看了一下「新增移除程式」,不少程式也被影响,前面的ICON都是熊猫拿香......程式也得重灌!
像是:Kaspersky......都出现了RUNTIME ERROR 5...... 表情
~只要是药,管你中药西药,对症叫下药,不对症叫下毒~
~~小弟的BLOG:http://tw.myblog.yahoo.co...ikeWhiskey
~~欢迎大家指教!!
献花 x0 回到顶端 [2 楼] From:台湾 | Posted:2006-12-26 23:23 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
级别: 版主 该用户目前不上站
版区: 硬体讨论, 公益互助, PDA 讨论, 手机讨论区, 诈骗资讯, 网路&防毒
推文 x372 鲜花 x2016
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

查过很多资料 有不少与你类似的问题
但却没有显示说 图示变成熊猫三柱香
最后还好有提到 AUTORUN.INF 的问题
目前会影响到这个档案的 统称 U盘病毒
之前有写过通用解毒法 不知道你可否试用
http://bbs.mychat.to/read.php?tid=591443

如果不行 只好请你使用 System Repair Engineer(SREng)
把资料贴上来让我检查 帮你制作批次查杀工具
http://bbs.mychat.to/read.php?tid=585387
爸爸 你一路好走
献花 x0 回到顶端 [3 楼] From:台湾和信超媒体宽带网 | Posted:2006-12-27 00:31 |
MaverickWu 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 终身成就奖
头衔:~~Doctor Mike Whiskey~~~~Doctor Mike Whiskey~~
风云人物
级别: 风云人物 该用户目前不上站
推文 x2 鲜花 x470
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

谢谢UP兄:目前资讯室工程师已经初步解决了......
只是我在纳闷,这是啥,连防毒软体他都闪过了?!
~只要是药,管你中药西药,对症叫下药,不对症叫下毒~
~~小弟的BLOG:http://tw.myblog.yahoo.co...ikeWhiskey
~~欢迎大家指教!!
献花 x0 回到顶端 [4 楼] From:台湾 | Posted:2006-12-27 02:07 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
级别: 版主 该用户目前不上站
版区: 硬体讨论, 公益互助, PDA 讨论, 手机讨论区, 诈骗资讯, 网路&防毒
推文 x372 鲜花 x2016
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用MaverickWu于2006-12-27 02:07发表的 :
谢谢UP兄:目前资讯室工程师已经初步解决了......
只是我在纳闷,这是啥,连防毒软体他都闪过了?!
你那一只 我没分析过 无法得知
但以类似的木马来看 有约70-80%的木马
一般的防毒软体 几乎无法抵挡
就算发现可疑档案 也是无法删除 只会一直警告
所以现在很多朋友 都喜欢安装两套防毒或多装一套防木马软体
来配合使用
单单靠一套防毒 已经不太够使用了
爸爸 你一路好走
献花 x0 回到顶端 [5 楼] From:台湾和信超媒体宽带网 | Posted:2006-12-27 02:55 |
MaverickWu 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 终身成就奖
头衔:~~Doctor Mike Whiskey~~~~Doctor Mike Whiskey~~
风云人物
级别: 风云人物 该用户目前不上站
推文 x2 鲜花 x470
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

下面是引用upside于2006-12-27 02:55发表的 :

你那一只 我没分析过 无法得知
但以类似的木马来看 有约70-80%的木马
一般的防毒软体 几乎无法抵挡
就算发现可疑档案 也是无法删除 只会一直警告
.......
的确,那支经过我那些朋友的讨论分析,应该是木马。
不过,他们用的方式是「比对」法......唉~
~只要是药,管你中药西药,对症叫下药,不对症叫下毒~
~~小弟的BLOG:http://tw.myblog.yahoo.co...ikeWhiskey
~~欢迎大家指教!!
献花 x0 回到顶端 [6 楼] From:台湾 | Posted:2006-12-27 09:40 |
omniplay
个人文章 个人相簿 个人日记 个人地图
知名人士
级别: 知名人士 该用户目前不上站
推文 x14 鲜花 x270
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

看起来NetBios都还在跑...

同台电脑装2个以上更容易造成误判~还不如数台装一种~交叉扫描~相信效果不同~更Power

Ntfs系统C槽电脑通常都留有EveryOne权限~这也是容易木马被执行的源头~

回覆与感谢是一种品德,论坛互动中良性的交流。
☆★要评0,干脆就别评算了★蜀山无大将,猴子称大王★☆
☆★好文章值得千锤百炼★好文绝对顶,烂文绝对批★烂文千百出,徒惹施笑话★☆
☆★钻古泥思,不如多体验人生☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★资讯爆炸时代,资讯通透,真伪诀齐流,会运用/懂丢弃/辩证要比引籍淹思更重要★☆
献花 x0 回到顶端 [7 楼] From:台湾中华HiNet | Posted:2006-12-27 09:51 |
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
级别: 版主 该用户目前不上站
版区: 硬体讨论, 公益互助, PDA 讨论, 手机讨论区, 诈骗资讯, 网路&防毒
推文 x372 鲜花 x2016
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

网路上此毒开始发酵 已有多位网友向我反应此毒
依大家的状况雷同 可判断为同一只木马病毒
可惜无分析报告可了解 大部份的网友都直接重灌
一般防毒程式 无法抵挡与侦测到

不知 MaverickWu 大的资讯部人员 如何解此毒
爸爸 你一路好走
献花 x0 回到顶端 [8 楼] From:台湾 | Posted:2006-12-27 12:01 |
Kilian
个人头像
个人文章 个人相簿 个人日记 个人地图
终身成就奖
知名人士
级别: 知名人士 该用户目前不上站
推文 x4 鲜花 x387
 分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片

Dr Wu 表情

arcsetup.exe 和 arcldr.exe 是 Win 2000 安装时建立在 C: 的, 好像是用来 boot alpha-architecture的, 我电脑也有 (已一早改名但留下 (电脑是 multi-boot), 但不是一定是毒, 看来在 x386 是没有用的; 您的情况看来是中毒, 这恕我不能直接帮忙, 但我想建议有关部门要审慎检讨安全措施, 和检查有没有流失重要资料, 和病人资料, 防止再发生

http://support.microsoft.com/defaul...zh-tw;KB238359&

表情
献花 x1 回到顶端 [9 楼] From:加拿大温哥华 | Posted:2006-12-27 14:34 |

<<   1   2  下页 >>(共 2 页)
首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind		 Processed in 0.026575 second(s),query:16 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言