PALMisLIFE 討論區

標題: [交流] 中了後門 ? Backdoor.MLink [列印本頁]

作者: 阿輝 時間: 2004-10-19 01:21
標題: [交流] 中了後門 ? Backdoor.MLink
掃描類型：  自動防護掃描
事件：  發現威脅！
威脅：Backdoor.MLink
檔案：  C:\WINDOWS\system32\m2syadll.dll
位置：  C:\WINDOWS\system32
電腦：  LINUX-LYIGF9W3H
使用者：  ahui
採取行動：  清除失敗 : 隔離失敗 : 拒絕存取
發現日期： 2004年10月19日  上午 01:20:40

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

Google 找的解決方法（不過我的電腦上照這樣做找不到東西）

1) 更新您防毒軟體病毒定檔至最新,做系統掃描,然後刪除被判定為此蟲的檔案。
2)刪除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 中的Magic Link Server %windir%\system\Magiclink.exe。

上面的解法在我的電腦上是不能解的

作者: czh 時間: 2004-10-19 01:31
標題: Re: [交流] 中了後門 ? Backdoor.MLink
我前幾天也是找到這個
當時google找不到任何資訊
移除與隔離雖然出現失敗
不過重新開機後已經找不到他的蹤跡了
所以我就沒去在意

作者: 阿輝 時間: 2004-10-19 01:34
標題: Re: [交流] 中了後門 ? Backdoor.MLink
電腦之前一直怪怪的

每隔幾分鐘就 cpu 佔用率突然提高 (害林背 CS:S 一直死.... =''=)

不知道是不是這個原因８）

Originally posted by czh at 2004-10-19 01:31 AM:
我前幾天也是找到這個
當時google找不到任何資訊
移除與隔離雖然出現失敗
不過重新開機後已經找不到他的蹤跡了
所以我就沒去在意

作者: superman 時間: 2004-10-19 01:36
標題: Re: [交流] 中了後門 ? Backdoor.MLink
我星期五也中了，(不是樂透)

，也是這 "後門"，找到答案和阿輝一樣，但也處理不了，星期六一整天都在重灌。屎...................

希望寫這"後門"程式的人，"後門"每日開花。:!(

[ Last edited by superman on 2004-10-19 at 01:37 ]

作者: HUANGLIFU 時間: 2004-10-19 01:41
標題: Re: [交流] 中了後門 ? Backdoor.MLink
應該是變種吧~~很難說,我也遇過類似的事情,只能勤勞一點,多作系統掃描了。

作者: czh 時間: 2004-10-19 01:46
標題: Re: [交流] 中了後門 ? Backdoor.MLink
我指的前幾天就是病毒排行2004-10-15 11:44 AM那篇回應
我有回試了兩套防毒軟體有找到但是殺不了的
當時就是說這個
McAfee企業版8.0i根本沒發現
換了Kaspersky有發現但是一直警告沒幫助
Symantec AntiVirus安裝後只警告一次,重新開後似乎就沒事了
不過也只是似乎,不代表是真的根除
後續試過其他防毒軟體也沒在發現有這隻的蹤跡

作者: AlexPro 時間: 2004-10-19 16:08
標題: Re: [交流] 中了後門 ? Backdoor.MLink
我也中了，是同一個檔案 F-Secure 有找到但是每次重開機都會有警告畫面
不能delete ，rename 也沒用。
在 F-Secure 顯示出來的是backdoor.Win32.Cmjspy.ap
似乎是同一個病毒

作者: czh 時間: 2004-10-19 16:37
標題: Re: [交流] 中了後門 ? Backdoor.MLink
現在每次開機SAV都會警告兩次顯示已經刪除
可是下次開機還是會再警告兩次
搞的我已經在還原系統了
準備開始手工抓毒

作者: AlexPro 時間: 2004-10-19 16:43
標題: Re: [交流] 中了後門 ? Backdoor.MLink
我剛剛用駝鳥法啦~
1、進入安全模式
2、在\Windows\System32\ 找到該死的 m2syadll.dll
3、幹掉它
4、自己重建一個空白文件，取名叫m2syadll.dll，並將它設為唯讀~重開
5、我的F-Secure就不會再叫了

作者: czh 時間: 2004-10-19 16:49
標題: Re: [交流] 中了後門 ? Backdoor.MLink
這樣是不會警告沒錯
可是explorer.exe還是經常莫名其妙loading 99%
所以還是想辦法解決比較保險

作者: HUANGLIFU 時間: 2004-10-19 17:06
標題: Re: [交流] 中了後門 ? Backdoor.MLink

Originally posted by AlexPro at 2004-10-19 16:43:
我剛剛用駝鳥法啦~
1、進入安全模式
2、在\Windows\System32\ 找到該死的 m2syadll.dll
3、幹掉它
4、自己重建一個空白文件，取名叫m2syadll.dll，並將它設為唯讀~重開
5、我的F-Secure就不會再叫了

如果可以知道在建立m2syadll.dll的時候發生錯誤的執行檔名稱，就知道誰在作怪了。

作者: 阿輝 時間: 2004-10-19 18:30
標題: Re: [交流] 中了後門 ? Backdoor.MLink
不過 SAV 出現警告後到就是正常了

之前玩 CS:S 就很明顯發生每幾秒就 CPU 衝高一瞬間的情況
現在就不會了

不過還是得找找根治方法比較好

作者: guan 時間: 2004-10-20 01:42
標題: Re: [交流] 中了後門 ? Backdoor.MLink
看到這篇時趕緊查查自己電腦安好否～
好加在～～目前仍平安～～

希望大家的電腦早日康復啊～＠

作者: 阿輝 時間: 2004-10-21 03:39
標題: Re: [交流] 中了後門 ? Backdoor.MLink
還是找不到解決方法... =''=

作者: mintz 時間: 2004-10-21 06:47
標題: Re: [交流] 中了後門 ? Backdoor.MLink
如果只是要找出那支程式鎖住DLL，使用如tlist這種tool即可，執行
tlist -m m2syadll.dll
就可以找出是誰鎖住這支dll了，如果是 explorer.exe就較麻煩了

但這種殺了又自已會跑回來的情形，會不會是有幾隻木馬(或是同一隻木馬的幾支processes)交叉掩護?? 之前學長的電腦變成跑馬場，有8支不同的程式分三群交叉掩護，砍一隻剩下的就會馬上將陣亡的弟兄recovery回來，最後是使用鎖權限+安全模式清除才得以除根..

歡迎光臨 PALMisLIFE 討論區 (http://f.pil.tw/)