Re: [求救] 開機後約20分鐘就不能上網
※ 引述《a80269 (黑黑)》之銘言:
: 1. 敘述問題:開機約 20分鐘後,開始出現http、ftp、telnet類不能連線
: 再過約10分鐘後,原本連線的bbs、msn、即時通都會斷線
: 但是工作列從來就沒有出現區網斷線的小叉叉符號
: 除了重開機外,待命後再開、斷線再連線、按網頁的自重修復都無法
: 我去看一下我的封包傳送發現送出的封包一直大於接收封包
: 這對於一般上網頁的用戶實在是不太可能發生(沒有在下載東西)
最近有處理類似的 case,
netstat -an 看一下 session, 若看到超多 session (超過1000),
Foreign Address 後面都是 :25
那 99% 是中了發送圾垃郵件的木馬
開機後木馬開始運作, 等 session 都被佔滿了就無法上網
解決方式:
netstat -anb 看一下是那個執行檔(木馬)在寄 mail,
用 dir/a/s 找出木馬位置,
然後用 unlocker 砍掉, unlocker 會顯示需要重開機,
重開機後應該就會正常了
木馬的檔名通常會魚目混珠跟系統的程式一樣,
上次處理的 case 檔名是 winlogon.exe, 正常的 winlogon.exe 在 \windows\system32,
若是在其他位置, 很可能就是木馬
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 203.222.20.2
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
