none
使用VBscript寫程式清除KAVO-TASO-AVP等病毒的問題 RRS feed

  • 問題

  • 各位前輩好

       由於小弟所任教的國中目前被KAVO,TASO等病毒入侵,狀況如下

    1. 此病毒變種非常快,又能自動下載新版病毒,

    2. 在執行緒中常常是附著在其他的process來執行而看不到其本體

    3. 本校全校computer都加入domain,但是使用者是以local administrators的身分登入

        (目前要變更使用者習慣有其困難,我們是國中,大部分的同仁不了解登入的意義)

    4. 全校約90幾台電腦,所以想要採用logon script 的方式配合 vbscript 殺毒

    5. 曾採用使用Symantec Antivirus 以及 卡巴斯基 做測試,目前都無法有效處理

    6. 即使防毒軟體有偵測到病毒,但是重新開機後又會跳出來

     

    構想:

    1. 如果每次開機都執行logon script 可以每天清除一次病毒,讓疫情不致太過嚴重

    2. 如果變種時,將其路徑及相關執行緒加入 vbscript 內,可以初步的防治

    3. script 內含兩部份 (1) 停 process 區 (2) 殺檔案區

     

    Q1. 請問這樣的想法可行嗎?

     

    Q2. 使用 vbscript 停止病毒相關 process 時,是否有可能停止不了?

    (對於windows process不是很了解,可否介紹好書)

     

    Q3. 如果病毒是以 explorer 呼叫並執行,該怎麼處理?

          病毒刪除後是否要重新啟動 explorer,該怎麼做?

     

    這是目前想到的,懇請各位前輩不吝指導,謝謝

    2007年10月30日 上午 10:24

解答

  • 不可行。因為後面多少東西以driver或其他你看不到的方式載入的你根本不知道,只砍process的後果就是砍完再生。只有重灌然後不給管理者權限才是解決之道。

    2007年10月31日 上午 10:12
  • 國中這樣不算啥啦~

     

    Eric 是成大的,成大是 Class B 網域的,只要中毒的電腦就鎖掉網路,直到改善為止。

     

    所以你可以先鎖全校的網路,然後一台台過濾,通過檢測的再開放上網。

     

    不過才百來台電腦,跟大學幾萬台電腦來比,算是小巫了~

     

    這樣搞過一次以後,教職員才會慢慢開始把防毒視為個人義務,而不是計算機小組的工作,將來在對抗惡意程式就不用這麼極端,也會比較好控管。

     

    早先我還在成大時,那時中毒還沒強制鎖 ip ,大教授們也不在意耗費網路資源與攻擊他人的情況,但是開始強制鎖 ip 不能上網後,那些教授們才開始願意重視中毒問題,慢慢的變成一中獎就開始處理,免得被鎖。

     

    印象中應該是 2002 年的疾風吧?大量的封包搞掛一堆地區網路中心的設備,包含交大代管的學網出國線路,斷電重新開機以後 5 分鐘必掛,連續幾次後交大斷然立即將幾個區域中心的病毒大戶斷線,才讓學網勉強能運作,之後各地區網路中心也跟進,下面子區網是病毒大戶的就斷線,直到改善為止,才開始有強制鎖 ip 的規則。記得那時 D-Link 的集線器有幾型碰上特定的網路封包就立刻掛,需要斷電重開,當時很多住宿生都常常斷的莫名其妙。

     

    2007年10月31日 下午 04:13

所有回覆

  • 不可行。因為後面多少東西以driver或其他你看不到的方式載入的你根本不知道,只砍process的後果就是砍完再生。只有重灌然後不給管理者權限才是解決之道。

    2007年10月31日 上午 10:12
  • 國中這樣不算啥啦~

     

    Eric 是成大的,成大是 Class B 網域的,只要中毒的電腦就鎖掉網路,直到改善為止。

     

    所以你可以先鎖全校的網路,然後一台台過濾,通過檢測的再開放上網。

     

    不過才百來台電腦,跟大學幾萬台電腦來比,算是小巫了~

     

    這樣搞過一次以後,教職員才會慢慢開始把防毒視為個人義務,而不是計算機小組的工作,將來在對抗惡意程式就不用這麼極端,也會比較好控管。

     

    早先我還在成大時,那時中毒還沒強制鎖 ip ,大教授們也不在意耗費網路資源與攻擊他人的情況,但是開始強制鎖 ip 不能上網後,那些教授們才開始願意重視中毒問題,慢慢的變成一中獎就開始處理,免得被鎖。

     

    印象中應該是 2002 年的疾風吧?大量的封包搞掛一堆地區網路中心的設備,包含交大代管的學網出國線路,斷電重新開機以後 5 分鐘必掛,連續幾次後交大斷然立即將幾個區域中心的病毒大戶斷線,才讓學網勉強能運作,之後各地區網路中心也跟進,下面子區網是病毒大戶的就斷線,直到改善為止,才開始有強制鎖 ip 的規則。記得那時 D-Link 的集線器有幾型碰上特定的網路封包就立刻掛,需要斷電重開,當時很多住宿生都常常斷的莫名其妙。

     

    2007年10月31日 下午 04:13