PTT數位生活區 / AntiVirus (防毒)

[中毒] 這病毒會透過 137,138 port 發廣播封包(.255)

看板AntiVirus (防毒)作者 (大叔)時間17年前 (2008/10/06 00:44), 編輯推噓2(202)
留言4則, 3人參與, 最新討論串1/1
1.問題描述: 請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明): 一. 在很短的時間內,中毒的電腦會透過 port 137 netbios-ns 或 port 138 netbios-dgm廣播出(140.111.91.255)大量封包,每秒鐘可能數十到上百個封包。 二. 由於幾乎所有電腦都中毒,所以判斷應是有系統漏洞可以進入。 三. 幾十台電腦同時發封包的狀況會造成網路印表機無法列印,網路應用程式 無法正常運作,網路速度變慢,屬於DDOS(分散式服務阻斷)現象。 四. 有硬碟的影印機(有網路列印功能)也會中毒一起發封包。 2.掃毒報告: 請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間 多部電腦用 Avira 掃毒時會在 c:\windows\system\mdm.exe 找到這個有毒檔案   但是掃完毒後還是繼續發封包 4.報告連結: Combofix: http://sun.cis.scu.edu.tw/~92a39/upload/32788.txt Hijackthis: http://sun.cis.scu.edu.tw/~92a39/upload/32789.txt SRENG: http://sun.cis.scu.edu.tw/~92a39/upload/32790.txt -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.161.233.91
10/06 01:34, , 1F
C:\WINDOWS\SYSTEM32\DRIVER\TDDI.SYS檢查看看,直覺那有
10/06 01:34, 1F
10/06 01:34, , 2F
問題
10/06 01:34, 2F
10/06 09:09, , 3F
幫個忙用wireshark 紀錄一下封包吧~~~
10/06 09:09, 3F
10/06 22:34, , 4F
我先試試兩位的建議,然後再回報狀況
10/06 22:34, 4F
更多 kendall66 的文章
文章代碼(AID): #18wEyAWu (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 kendall66 的文章
文章代碼(AID): #18wEyAWu (AntiVirus)