PTT數位生活區 / AntiVirus (防毒)

Re: [求救] 一疑似利用隨身碟傳染的木馬程式

看板AntiVirus (防毒)作者 (威廉華勒斯)時間16年前 (2009/11/16 14:07), 編輯推噓8(8029)
留言37則, 3人參與, 最新討論串2/3 (看更多)
注意:此回應僅限此篇處理。 複製底下 **號之間的文字不包含 **號 ** File:: C:\msbackup.exe c:\windows\system32\ntprint.exe c:\program files\mmsbackup.exe c:\windows\system\ieremove.exe c:\windows\system\csrss32.exe c:\windows\calcs.exe c:\windows\sndvols.exe c:\windows\system32\drivers\oreans32.sys c:\temp\temp.bat c:\windows\wutdat.exe c:\program files\Common Files\Microsoft Shared\MSInfo\msbackup.exe c:\windows\ipfix.exe c:\windows\system32\ntprint.exe c:\windows\system32\drivers\oreans32.sys DRIVER:: NetDDEsvc Backup_Info oreans32 REGISTRY:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wutdat"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] ** 之後開啟記事本按右鍵貼上複製的內容 之後按另存新檔 檔案名稱取名為CFSCRIPT.TXT 檔案類型選所有檔案 編碼選ANSI 之後將CFSCRIPT圖示拖曳到Combofix圖示上,之後依照他指示動作 執行其間不要動電腦 跑完之後 1.將c:\qoobox資料夾壓縮起來傳到免空貼上來 2.將跳出來的文字報告儲存起來之後上傳後貼連結給我. -- 無論何時都是盡頭 一定逃不了 讓天空的鳥 背著哀傷逃走嗎 這裡是假縫 永遠把我束縛 無論是來與往 也已經逝去 那就是夢 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.68.130.155
11/16 14:13, , 1F
推個XDrz J老闆解了^^y
11/16 14:13, 1F
11/16 14:30, , 2F
J大您好 這是文字報告http://0rz.tw/K1s9x
11/16 14:30, 2F
11/16 14:31, , 3F
這是qoobox的壓縮檔http://0rz.tw/Ux4p8
11/16 14:31, 3F
11/16 14:32, , 4F
另外還要請教J大您 我另外一台VISTA的電腦一樣用同樣步
11/16 14:32, 4F
11/16 14:32, , 5F
驟嗎??? 應該是同樣這隻病毒沒錯!
11/16 14:32, 5F
11/16 14:34, , 6F
同一支不代表動作一樣,這有帶木馬下載功能的樣子,一次一
11/16 14:34, 6F
11/16 14:34, , 7F
11/16 14:34, 7F
11/16 14:34, , 8F
再來將底下的檔案壓縮起來之後傳到免空貼連結上來,貼完後
11/16 14:34, 8F
11/16 14:35, , 9F
將這兩個檔刪掉,但這兩個檔可能會再生,再生就不管他.
11/16 14:35, 9F
11/16 14:35, , 10F
c:\windows\system32\calc.exe
11/16 14:35, 10F
11/16 14:35, , 11F
c:\windows\system32\sndvol32.exe
11/16 14:35, 11F
11/16 14:36, , 12F
刪完之後一樣再跑COMBOFIX報告上來
11/16 14:36, 12F
11/16 14:48, , 13F
J大您好,這是LOG檔http://0rz.tw/7GsA8
11/16 14:48, 13F
11/16 14:49, , 14F
這是壓縮檔案http://0rz.tw/rZzWi
11/16 14:49, 14F
11/16 14:50, , 15F
關於vista那台 J大您晚上方便嗎 因為我現在人在實驗室裡
11/16 14:50, 15F
11/16 14:52, , 16F
不方便,有需要的話就一定貼報告上來就好了.
11/16 14:52, 16F
11/16 14:54, , 17F
恩 那我現在衝回去宿舍好了XD...還請J大您稍等會
11/16 14:54, 17F
11/16 16:07, , 18F
J大,現在在VISTA那台電腦遇到的最大的問題是 當執行
11/16 16:07, 18F
11/16 16:08, , 19F
Combofix時候,當畫面跑到 尋找感染的文件...掃描時間容
11/16 16:08, 19F
11/16 16:09, , 20F
易加倍 那畫面時候 就會卡在那裡 等了快30分鐘一樣還
11/16 16:09, 20F
11/16 16:09, , 21F
是不為所動 請問這情況是...還有得救嗎...
11/16 16:09, 21F
11/16 16:21, , 22F
那跑EFix吧.看能不能跑
11/16 16:21, 22F
11/16 17:23, , 23F
SORRY 剛被老闆CALL走...J大我這邊補上EFix掃出來的兩檔
11/16 17:23, 23F
11/16 17:25, , 24F
EF_Extras.TXT http://0rz.tw/S28bs
11/16 17:25, 24F
11/16 17:26, , 25F
11/16 17:26, 25F
11/16 17:26, , 26F
還得麻煩J大您了 感謝!
11/16 17:26, 26F
11/16 17:50, , 27F
VISTA那台看起來沒事耶XD
11/16 17:50, 27F
11/16 18:07, , 28F
之前我也這樣以為阿 但只要把隨身碟插上去 那三個檔案
11/16 18:07, 28F
11/16 18:08, , 29F
MyDocuments.scr Photo.scr Winzip.pif就都會再出現在
11/16 18:08, 29F
11/16 18:08, , 30F
隨身碟裡頭O_Q
11/16 18:08, 30F
11/16 20:48, , 31F
更慘的是下午才用EFix把windows.exe刪除 剛剛回宿舍開電
11/16 20:48, 31F
11/16 20:49, , 32F
腦....他又回來啦....囧....而且他其他感染的檔案又不於
11/16 20:49, 32F
11/16 20:50, , 33F
之前那台XP是msbackup.exe 外加COMBOEFix不知道為啥會像
11/16 20:50, 33F
11/16 20:50, , 34F
卡死一般停住無法執行....傷透腦了...囧
11/16 20:50, 34F
11/16 20:54, , 35F
目前在這台VISTA除了偽裝成WINDOWS.EXE之外 另外又偽裝
11/16 20:54, 35F
11/16 20:54, , 36F
成哪個檔案...真的還有待查驗....
11/16 20:54, 36F
11/16 21:02, , 37F
夭壽喔....那個隱藏屬性不要隨便用啦,擬系統屬性全亂了..
11/16 21:02, 37F
更多 junorn 的文章
文章代碼(AID): #1B0EmBN6 (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 junorn 的文章
文章代碼(AID): #1B0EmBN6 (AntiVirus)