close
最近開機後開啟IE7經常發生錯誤而關閉, 檢查錯誤訊息的檔案是一個叫做"mogjxhhu.dat"的陌生檔案發生錯誤, 於是就用檔案搜尋的方式在硬碟中尋找這個檔, 怪得是這個檔在硬碟中根本找不到!!
猜想或許是隱藏的檔案, 甚至是隱藏自己的病毒, 不過使用的Nod32防毒程式一直都開著, 在網路上各搜尋引擎也都找不到這個"mogixhhu.dat"的相關資訊, 真是怪了!
不過因為IE7開啟時同時打開了8個首頁, 如果每個首頁單獨打開, 就又不會出現錯誤, 或許mogixhhu.dat只是存在於同時開啟很多個首頁時的暫存檔。
不過除了IE7開啟時的問題之外, 伴隨著電腦也有些說不出來的異常, 所以決定還是仔細把這個病毒找出來! 因為工作用的電腦並非自己一個人使用, 或許雖然有防毒程式, 但仍有空隙讓病毒有機可乘也不一定。
1. 用Nod32整個掃過電腦之後, 完全找不到可疑的情形!
2. 已經在檔案總管中搜尋了每個硬碟的檔案了, 也找不到這個"mogjxhhu.dat"的檔案
3. 突然想到在命令列之下直接搜尋, 結果果然在 c:\Program Files\Internet Explorer目錄中發現了這個隱藏的"mogjxhhu.dat"檔案, 接著用Attrib檢查, 又發現了另一個檔案"R.exe", 屬性都是標示為 SHR, 也就是隱藏的唯獨系統檔案。
4. 雖然檔案總管已經開啟顯示所有檔案, 但是這兩個檔案仍然看不到
5. 在命令列下把這兩個檔案的SHR屬性清除, 然後複製到 "c:\"目錄下, 回到檔案總管去看, 仍然是看不到這兩個檔案, 至此可以肯定應該是會隱藏自己的病毒。
6. 在 Registry 中尋找這兩個檔案的相關訊息, 仍然找不到, 工作管理員也找不到相關訊息, 而這兩個檔案在原來位置(c:\Program Files\Internet Explorer), 是無法刪除的(因為程序正在進行中)。
7. 重新開機以安全模式進入, 但竟然無法以安全模式正常開啟。
8. 改以Windows XP光碟開機進入修復模式, 但是因為檔案位置不在系統目錄中(c:\Windows), 所以也沒辦法有任何動作。
9. 改以 msconfig 停用所有啟動跟服務, 重新開機進入。果然這樣就可以刪除"R.exe"以及"mogjxhhu.dat"了。
10. 隨後再進入 registry中尋找, 果然發現這個"r.exe"是以服務方式載入系統中。
11. 清除後再以Nod32掃描這兩個檔案, 仍然不被認為是病毒。以Spyware Doctor之類防spyeare軟體檢查一樣不被辨識出來。
12. 把備份的檔案上傳到 Virus Total 上頭, 才發現原來這個病毒再許多知名的防毒軟體都找不到, 像是NOD32(V2.7), 卡巴斯基, 賽門鐵克, 國產的趨勢防毒等等都偵測不出來(參考下表), 掃不出來的防毒系統的病毒資料庫都是近日更新, 應該沒有冤枉他們, 看樣子得再花錢換套防毒程式了。
糟糕的是這個病毒應該跟竊取密碼有關, 如果這陣子看到部落格中我胡言亂語, 應該是帳號被盜用了! 呵呵
不過回想起來, 最近測試的東西比較多, 一時也忘了可能中毒的時間點, 這些知名防毒大廠找不出來的病毒或木馬恐怕還不少, 還是得敏感點自求多福了!
猜想或許是隱藏的檔案, 甚至是隱藏自己的病毒, 不過使用的Nod32防毒程式一直都開著, 在網路上各搜尋引擎也都找不到這個"mogixhhu.dat"的相關資訊, 真是怪了!
不過因為IE7開啟時同時打開了8個首頁, 如果每個首頁單獨打開, 就又不會出現錯誤, 或許mogixhhu.dat只是存在於同時開啟很多個首頁時的暫存檔。
不過除了IE7開啟時的問題之外, 伴隨著電腦也有些說不出來的異常, 所以決定還是仔細把這個病毒找出來! 因為工作用的電腦並非自己一個人使用, 或許雖然有防毒程式, 但仍有空隙讓病毒有機可乘也不一定。
1. 用Nod32整個掃過電腦之後, 完全找不到可疑的情形!
2. 已經在檔案總管中搜尋了每個硬碟的檔案了, 也找不到這個"mogjxhhu.dat"的檔案
3. 突然想到在命令列之下直接搜尋, 結果果然在 c:\Program Files\Internet Explorer目錄中發現了這個隱藏的"mogjxhhu.dat"檔案, 接著用Attrib檢查, 又發現了另一個檔案"R.exe", 屬性都是標示為 SHR, 也就是隱藏的唯獨系統檔案。
4. 雖然檔案總管已經開啟顯示所有檔案, 但是這兩個檔案仍然看不到
5. 在命令列下把這兩個檔案的SHR屬性清除, 然後複製到 "c:\"目錄下, 回到檔案總管去看, 仍然是看不到這兩個檔案, 至此可以肯定應該是會隱藏自己的病毒。
6. 在 Registry 中尋找這兩個檔案的相關訊息, 仍然找不到, 工作管理員也找不到相關訊息, 而這兩個檔案在原來位置(c:\Program Files\Internet Explorer), 是無法刪除的(因為程序正在進行中)。
7. 重新開機以安全模式進入, 但竟然無法以安全模式正常開啟。
8. 改以Windows XP光碟開機進入修復模式, 但是因為檔案位置不在系統目錄中(c:\Windows), 所以也沒辦法有任何動作。
9. 改以 msconfig 停用所有啟動跟服務, 重新開機進入。果然這樣就可以刪除"R.exe"以及"mogjxhhu.dat"了。
10. 隨後再進入 registry中尋找, 果然發現這個"r.exe"是以服務方式載入系統中。
11. 清除後再以Nod32掃描這兩個檔案, 仍然不被認為是病毒。以Spyware Doctor之類防spyeare軟體檢查一樣不被辨識出來。
12. 把備份的檔案上傳到 Virus Total 上頭, 才發現原來這個病毒再許多知名的防毒軟體都找不到, 像是NOD32(V2.7), 卡巴斯基, 賽門鐵克, 國產的趨勢防毒等等都偵測不出來(參考下表), 掃不出來的防毒系統的病毒資料庫都是近日更新, 應該沒有冤枉他們, 看樣子得再花錢換套防毒程式了。
檔案 R.exe 接收於 2008.06.19 08:37:52 (CET)
| 反病毒引擎 | 版本 | 最後更新 | 掃瞄結果 |
| AhnLab-V3 | 2008.6.19.0 | 2008.06.18 | - |
| AntiVir | 7.8.0.55 | 2008.06.18 | TR/Crypt.NSPM.Gen |
| Authentium | 5.1.0.4 | 2008.06.18 | W32/PWStealer1!Generic |
| Avast | 4.8.1195.0 | 2008.06.18 | Win32:Hupigon-GMQ |
| AVG | 7.5.0.516 | 2008.06.19 | - |
| BitDefender | 7.2 | 2008.06.19 | - |
| CAT-QuickHeal | 9.50 | 2008.06.18 | - |
| ClamAV | 0.93.1 | 2008.06.19 | - |
| DrWeb | 4.44.0.09170 | 2008.06.18 | - |
| eSafe | 7.0.15.0 | 2008.06.18 | suspicious Trojan/Worm |
| eTrust-Vet | 31.6.5886 | 2008.06.19 | - |
| Ewido | 4.0 | 2008.06.18 | - |
| F-Prot | 4.4.4.56 | 2008.06.18 | W32/PWStealer1!Generic |
| F-Secure | 6.70.13260.0 | 2008.06.18 | W32/Suspicious_N.gen |
| Fortinet | 3.14.0.0 | 2008.06.19 | - |
| GData | 2.0.7306.1023 | 2008.06.18 | Win32:Hupigon-GMQ |
| Ikarus | T3.1.1.26.0 | 2008.06.19 | Virus.Win32.AutoRun.al |
| Kaspersky | 7.0.0.125 | 2008.06.18 | - |
| McAfee | 5320 | 2008.06.18 | New Malware.bj |
| Microsoft | 1.3604 | 2008.06.19 | VirTool:Win32/Obfuscator.A |
| NOD32v2 | 3198 | 2008.06.18 | - |
| Norman | 5.80.02 | 2008.06.17 | W32/Suspicious_N.gen |
| Panda | 9.0.0.4 | 2008.06.18 | Suspicious file |
| Prevx1 | V2 | 2008.06.19 | - |
| Rising | 20.49.30.00 | 2008.06.19 | Backdoor.Win32.RemoteABC.mz |
| Sophos | 4.30.0 | 2008.06.19 | Mal/Packer |
| Sunbelt | 3.0.1153.1 | 2008.06.15 | - |
| Symantec | 10 | 2008.06.19 | - |
| TheHacker | 6.2.92.354 | 2008.06.18 | - |
| TrendMicro | 8.700.0.1004 | 2008.06.19 | - |
| VBA32 | 3.12.6.7 | 2008.06.19 | Backdoor.Win32.Hupigon.cfgc |
| VirusBuster | 4.3.26:9 | 2008.06.12 | Packed/NSPack |
| Webwasher-Gateway | 6.6.2 | 2008.06.19 | Trojan.Crypt.NSPM.Gen |
糟糕的是這個病毒應該跟竊取密碼有關, 如果這陣子看到部落格中我胡言亂語, 應該是帳號被盜用了! 呵呵
不過回想起來, 最近測試的東西比較多, 一時也忘了可能中毒的時間點, 這些知名防毒大廠找不出來的病毒或木馬恐怕還不少, 還是得敏感點自求多福了!
全站熱搜
留言列表
程式設計 (2)
