[求救] 被盜帳號,rootkit砍不掉

看板AntiVirus (防毒)作者annie06045 (小安)時間16年前 (2009/10/17 23:42)推噓4(4推 0噓 2→)

留言6則, 4人參與討論串1/2 (看更多)

1. 敘述問題： 10/12在學校電腦發現自己的露天拍賣帳號被盜緊急用學校電腦把所有常用網站的帳密更改之後就沒有被盜的情況了用combofix掃家用電腦之後發現有rootkit combofix訊息如下 --- combofix察覺到rootkit的行為並且需要重新啟動電腦請將這些文件名字記在紙上，我們可能會用到他 %~G --- 然後又顯示叫我放入XP SP1光碟進行系統修復但因為我沒有windows安裝片所以無法修正所以現在完全不敢在家用電腦登入任何需要帳密的網站木馬/後門程式應該還是在家用電腦裡...... orz 已用過spybot、Malwarebytes Anti-Malware、unhackme 作初步的清理雖然有掃出一些東西並刪除但也無法確定是否成功清除掉那個rootkit 這幾天自己試了很久還是沒辦法搞定orz 請板友幫忙一下謝謝~Orz P.S.而微軟更新本來在我這幾天處理電腦問題以及掃以下的log時是完全連不上的 Orz 剛才莫名連上了正在下載更新中...不知道是否能成功更新囧 2. 系統資料：使用的作業系統 Windows XP SP1 ←原本無法微軟更新Orz 使用的防毒軟體小紅傘 3. 分析報告： Combofix報告： http://sun.cis.scu.edu.tw/~92a39/upload/36977.txt ↑這裡面有一行 -- 發現受感染 c:\windows\system32\drivers\atapi.sys 並且成功解毒從 - Kitty ate it :^) 恢復原來檔案 -- 但我這幾天起碼掃了5次combofix 每次log都會出現這句顯然根本沒解毒orz Hijackthis ： http://sun.cis.scu.edu.tw/~92a39/upload/36972.txt SRENG ： http://sun.cis.scu.edu.tw/~92a39/upload/36976.txt 而我自己多掃了幾種報告希望能對板友判斷有所幫助 GMER http://sun.cis.scu.edu.tw/~92a39/upload/36975.txt OTL http://ppt.cc/C;hi OTL EXTRA http://sun.cis.scu.edu.tw/~92a39/upload/36974.txt efix http://sun.cis.scu.edu.tw/~92a39/upload/36971.txt 另外Rootrepeal無法使用囧點程式兩下之後就當了半小時都沒反應但用別台電腦使用是正常的 -- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.43.98.228 ※ 編輯: annie06045 來自: 114.43.98.228 (10/17 23:44)