PTT數位生活區 / AntiVirus (防毒)

Re: [求救] 木馬感染中

看板AntiVirus (防毒)作者 (K1下次要買搖滾區)時間16年前 (2009/08/31 09:31), 編輯推噓7(7021)
留言28則, 2人參與, 最新討論串2/2 (看更多)
※ 引述《NDark (K1下次要買搖滾區)》之銘言: 1. 敘述問題: 防毒軟體在開機時出現木馬訊號.但清除後也似乎無法完全解除. 一些防毒出現的keyword: Trojan* Backdoor.Bot Worm.Palevo 開機的時候會跳出自動連接的IE視窗 google "earn money" (ComboFix重開後已經沒有此網頁) 使用者資料夾下開機時會自動產生自動命名新的問題隱藏檔. MSN會自動傳出imagshack的問題訊息,用過EFix不知是否已經清除. 2. 系統資料: Windows XP, Trend OfficeScan ,費爾防火牆. 3. 分析報告: 20090831 Mon. Combofix報告: http://sun.cis.scu.edu.tw/~92a39/upload/36144.txt Hijackthis : http://sun.cis.scu.edu.tw/~92a39/upload/36145.txt SRENG : http://sun.cis.scu.edu.tw/~92a39/upload/36146.txt 20090831 KarasuTW指示後 Combofix報告: http://sun.cis.scu.edu.tw/~92a39/upload/36148.txt 開機後已無無預期的網頁開啟動作 使用者資料夾已無自行產生之隱藏執行檔 20090831-2 雖然已無上述狀況.但執行MBAM後,卻發現多數感染及MBAM錯誤現象. MBAM的錯誤訊息 在掃描到最後一塊 "正在執行附加的和啟發式對象掃描" 時 會出現錯誤訊息 發生一個錯誤,請把下面的錯誤代碼給..... Error code: 731 ( 0 , 6 ) 並出現一無名稱之受感染物件,及多感染物件,log如下 並要求重開機,重開掃描後狀況相同. http://sun.cis.scu.edu.tw/~92a39/upload/36160.txt 以上已經解決.感謝各位. -------------------------------------------------------------------- 另一台朋友電腦出現的狀況. 作業系統XP 防毒軟體是Avira 有徵狀的是MSN會傳訊息,防毒軟體也會叫有木馬. MBAM有無內容的感染物 20090901 Combofix報告: http://sun.cis.scu.edu.tw/~92a39/upload/36180.txt Hijackthis : http://sun.cis.scu.edu.tw/~92a39/upload/36181.txt SRENG : http://sun.cis.scu.edu.tw/~92a39/upload/36182.txt 20090908 經 KarasuTW 36230 腳本處理.結果如下 Combofix報告: http://sun.cis.scu.edu.tw/~92a39/upload/36289.txt 經此運作,回報網路無法連線,情況像是無法撥接上網. 使用還原後.本次處理也一併回朔了. -- "May the Balance be with U"(願平衡與你同在) 視窗介面遊戲設計教學( http://0rz.tw/V28It ),討論,分享。歡迎來信。 視窗程式設計(Windows CLR Form)遊戲架構設計(Game Application Framework) 遊戲工具設計(Game App. Tool Design ) 電腦圖學架構及研究(Computer Graphics)論文代讀(含投影片製作) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.96.77.176 ※ 編輯: NDark 來自: 140.96.77.176 (08/31 09:31)
08/31 10:12, , 1F
按開始 - 執行 - notepad.exe 複製貼上以下網頁文字
08/31 10:12, 1F
08/31 10:13, , 3F
按檔案 - 另存新檔,點左側桌面圖示,檔名取CFScript.txt
08/31 10:13, 3F
08/31 10:13, , 4F
檔案類型選所有類型,編碼選 ANSI,存檔後將CFScript圖示
08/31 10:13, 4F
08/31 10:13, , 5F
拖曳到 combofix 圖示上放手如圖所示 http://ppt.cc/L~hh
08/31 10:13, 5F
08/31 10:15, , 6F
掃描完成後將 combofix 的 log 貼上來
08/31 10:15, 6F
※ 編輯: NDark 來自: 140.96.77.176 (08/31 10:31)
08/31 15:07, , 7F
看起來已經沒有再生的問題了,請下載 MBAM 下來掃除病毒
08/31 15:07, 7F
08/31 15:08, , 8F
遺留的殘渣,使用方式請看 #1AOlsLT7 ,Windows Update
08/31 15:08, 8F
08/31 15:09, , 9F
也檢查一下。至於 C:\Windows\temp\ 下面那個亂數的
08/31 15:09, 9F
08/31 15:09, , 10F
執行檔看樣子是和 office scan 有關的檔案。
08/31 15:09, 10F
08/31 15:10, , 11F
記得用 ATFCleaner 清一下暫存區的垃圾
08/31 15:10, 11F
08/31 15:11, , 12F
了解了.會持續觀察,謝謝.
08/31 15:11, 12F
08/31 15:19, , 13F
忘了說,一樣按開始 - 執行 - combofix /u 移除多餘檔案
08/31 15:19, 13F
※ 編輯: NDark 來自: 140.96.77.176 (08/31 15:44)
08/31 15:45, , 14F
C:\WINDOWS\temp 內檔案無法移除.ATFCleaner已使用.
08/31 15:45, 14F
08/31 15:48, , 15F
那應該是 Office scan 的檔案,沒辦法完全移除的檔案重開
08/31 15:48, 15F
08/31 15:48, , 16F
以後應該就會移除了
08/31 15:48, 16F
08/31 15:52, , 17F
重開的安全模式含網路做全系統掃描吧,看起來有很多屍體
08/31 15:52, 17F
08/31 15:53, , 18F
08/31 15:53, 18F
08/31 16:23, , 19F
奇妙的是安全模式下MBAM掃描不到任何感染.
08/31 16:23, 19F
08/31 16:23, , 20F
anyway,如果沒有症狀的話,就先當作問題解決了,感謝協助.
08/31 16:23, 20F
※ 編輯: NDark 來自: 140.96.77.176 (09/01 20:03) ※ 編輯: NDark 來自: 140.96.77.176 (09/01 20:07)
09/04 01:17, , 21F
你朋友的用下列網址內文字
09/04 01:17, 21F
※ 編輯: NDark 來自: 140.96.77.176 (09/07 20:18) ※ 編輯: NDark 來自: 140.96.77.176 (09/07 20:18)
09/07 20:28, , 23F
你朋友沒有正確使用 CFScript 喔
09/07 20:28, 23F
09/07 20:31, , 24F
鷇}始 - 執行 - notepad.exe 複製貼上以上網頁內文字
09/07 20:31, 24F
09/07 20:31, , 25F
按檔案 - 另存新檔,點左側桌面圖示,檔名取CFScript.txt
09/07 20:31, 25F
09/07 20:31, , 26F
檔案類型選所有類型,編碼選 ANSI,存檔後將CFScript.txt
09/07 20:31, 26F
09/07 20:31, , 27F
拖曳到 Combofix 圖示上放手如圖所示 http://ppt.cc/L~hh
09/07 20:31, 27F
09/07 20:31, , 28F
掃描完成後將 combofix.txt 上傳並回報狀況是否有變化。
09/07 20:31, 28F
※ 編輯: NDark 來自: 140.96.77.176 (09/08 19:53) ※ 編輯: NDark 來自: 140.96.77.176 (09/08 20:01)
更多 NDark 的文章
文章代碼(AID): #1AcoVcJJ (AntiVirus)
討論串 (同標題文章)
完整討論串 (本文為第 2 之 2 篇):
排序: 最新先 | 最舊先 | 留言數
5
17
[求救] 木馬感染中
NDark
16年前, 08/27
在新視窗開啟完整討論串 (共2篇)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
21
47
[情報] iOS 26.5
[ iOS ]
roman80010
12小時前, 05/12
更多 即時熱門文章 >>
更多 NDark 的文章
文章代碼(AID): #1AcoVcJJ (AntiVirus)