[求救] 似乎是中了ServStart.AD 木馬
1. 敘述問題:
最近抓到一個rar檔。
裡面有一個檔案是 movie.rmvb .exe
一時不查被騙點了下去,看播放軟體沒有反應。
仔細一看才發現被騙了。
接著NOD32有時會跳出
檔案 C:\WINDOWS\TEMP\tmp36.tmp
Win32/ServStart.AD 木馬 的一個變種
的警告訊息,也找不太出來是被種在那裡
2. 系統資料:
使用的作業系統 Win XP SP3
使用的防毒軟體 NOD32 AntiVirus
3. 分析報告:
Combofix : http://ppt.cc/Qoxb
Hijackthis : http://ppt.cc/aD-J
SRENG : http://ppt.cc/EGqd
防毒軟體報告: 檔案 C:\WINDOWS\TEMP\tmp36.tmp
Win32/ServStart.AD 木馬 的一個變種
已利用刪除的方式清除 - 已隔離 NT AUTHORITY\SYSTEM
在應用程式已修改的檔案上發生事件:
\??\C:\WINDOWS\system32\winlogon.exe.
麻煩大家了。(可惡的騙人檔 (/‵Д′)/~ ╧╧)
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.39.172.78
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
