[求救] 救命 RKIT、TR中毒網路流量異常

看板AntiVirus (防毒)作者GTFO (GTFO)時間16年前 (2010/05/28 07:46)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/4 (看更多)

1. 敘述問題：學校ip日流量3G，這幾天莫名從電腦上傳大量流量被連續斷網！小紅傘Premium版掃毒後掃出 http://goo.gl/9DdQ C:\WINDOWS\system32\drivers\lmpcz.sys [偵測] Contains recognition pattern of the RKIT/Bubnix.AU root kit C:\WINDOWS\system32\drivers\odeugst.sys [偵測] Is the TR/Rootkit.Gen Trojan 選擇隔離修復重開機後再掃病毒還是在！期間發現 C:\WINDOWS\system32\services.exe 有大量上傳流量且使CPU使用率到100%，使用 TCPView 看發現有連到國外異常連線(大都走https port 443) 目前是裝 Comodo FireWall 把 C:\WINDOWS\system32\services.exe 出入任何ip都阻止並記錄，但從 TCPView、Comodo Firewall 上面看我的電腦還是持續想上傳至大量異常ip http://goo.gl/I9Sq (不知為何Comodo日誌導出成Html一直失敗只好用截圖) 不知道要怎麼修復，救命，我的電腦門戶洞開被開後門了嗎總共上傳了10G不知道啥資料讓我很擔心。 2. 系統資料：使用的作業系統 Windows XP SP3 使用的防毒軟體 Avira AntiVir Premium 9.0.0.455 3. 分析報告： Combofix報告： http://sun.cis.scu.edu.tw/~92a39/upload/39567.txt Hijackthis ： http://sun.cis.scu.edu.tw/~92a39/upload/39568.txt SRENG ： http://sun.cis.scu.edu.tw/~92a39/upload/39569.txt EF2010051824 : http://sun.cis.scu.edu.tw/~92a39/upload/39570.txt Avira AntiVir: http://sun.cis.scu.edu.tw/~92a39/upload/39572.txt NetInfo : http://sun.cis.scu.edu.tw/~92a39/upload/39574.txt (↑剛重開機時，可看到services.exe連線到 96.0.203.114:443，在TCPView 下看這ip反解是rev.opentransfer.com.114.203.0.96.in-addr.arpa:https ，114.203.0.96是韓國ip) TCPView : http://sun.cis.scu.edu.tw/~92a39/upload/39575.txt 2010/05/28 AM10:25更新嘗試灌Kaspersky Anti-Virus 2010 在我使用電腦中跳出以下提示 C:\WINDOWS\system32\SERVICES.EXE (PID:1228): 正在下載的物件 hxxp://gbsup.com/csrv.exe，包含木馬程式 Trojan Win32.Agent2.cqol。拒絕。掃描C槽掃出下列內容 http://goo.gl/asVc 2010/05/28 AM10:40再更新使用電腦中跳出 C:\WINDOWS\system32\drivers\lmpcz.sys 警告為病毒，但是剛掃描C槽時並沒掃描出這個 http://goo.gl/CfWy 因為要照junorn大提示執行COMBOFIX，所以這裡我將KAV關掉沒有執行任何處理 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: GTFO 來自: 114.42.176.8 (05/01 00:37)

[求救] 救命 RKIT、TR中毒 網路流量異常

[求救] 救命 RKIT、TR中毒網路流量異常