只要中毒那么就会修改userinit.exe文件。而且这个文件的大小和时间都不会变,唯一改变的就是文件内容,所以如果想知道是不是穿透了必须对比感染前后的userinit.exe的文件内容,才能对比出来。并且此文件会实现彻底的隐蔽开机启动。也就是说病毒不会在你运行之后立刻添加自启动项里的N多木马,而是在重起后,利用userinit.exe进程来从网络上下载木马。目前的临时解决方案:
一是在路由上封IP:
ROS脚本,要的自己加上去
/ ip firewall filter
add chain=forward content=yu.8s7.net/cert.cer action=reject comment="DF6.0"
add chain=forward content=www.tomwg.com/mm/mm.jpg action=reject
add chain=forward content=www.tomwg.com/mm/wow.jpg action=reject
add chain=forward content=www.tomwg.com/mm/mh011.jpg action=reject
add chain=forward content=www.tomwg.com/mm/zt.jpg action=reject
add chain=forward content=www.tomwg.com/mm/wl.jpg action=reject
add chain=forward content=www.tomwg.com/mm/wd.jpg action=reject
add chain=forward content=www.tomwg.com/mm/tl.jpg action=reject
add chain=forward content=www.tomwg.com/mm/dh3.jpg action=reject
二是在c:\windows\system32\drivers下建立免疫文件: pcihdd.sys 大家一起想办法才能彻底解决。
样本和愿码都在这希望大家想下办法不要乱点。搞上了很麻烦。建议老大就去点,呵呵
[ 本帖最后由 bird 于 2007-10-29 13:51 编辑 ]
附件: 您所在的用户组无法下载或查看附件
