※ 引述《tefa ((ㄏ￣▽￣)ㄏ)》之銘言： : 問題描述： : 兩台電腦一次中毒，NOD32辨別為 Win32/poebot.nbf trojan : 上網NOD32就會跳出中毒視窗，只能被隔離，進安全模式掃毒也掃不到 : Spybot，AD-aware也掃過了，都無法解決 T.T : 報告連結： : 請將掃描報告(log)貼於下方 (上面的全要) : Combofix ：combofix不支援 Win Server 2003 : Hijackthis：http://sun.cis.scu.edu.tw/~92a39/upload/32444.txt : SRENG ：http://sun.cis.scu.edu.tw/~92a39/upload/32446.txt : 掃毒報告 ：http://sun.cis.scu.edu.tw/~92a39/upload/32445.txt 這台沒看到什麼異常的東西 : 另一台電腦的log報告 : Combofix ：combofix不支援 Win Server 2003 : Hijackthis：http://sun.cis.scu.edu.tw/~92a39/upload/32455.txt : SRENG ：http://sun.cis.scu.edu.tw/~92a39/upload/32457.txt : 掃毒報告 ：http://sun.cis.scu.edu.tw/~92a39/upload/32456.txt : 拜託了各位。 : 謝謝 這台中毒 到安全模式下 執行SRENG 啟動專案 - 註冊表 找下面這兩個 名字 數據 Spooler SubSystem App C:\WINNT\system32\spoolsvc.exe Microsoft Internet Explorer C:\WINNT\system32\iexplore.exe 找到後 按[刪除] 然後再到C:\WINNT\system32\底下 找spoolsvc.exe 找到之後 手動刪除 iexplore.exe從SRENG的報告裡顯示File is missing 應該是被NOD32幹掉了 如果檔案刪不掉 那先下載OTMoveIt2 http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe 到安全模式下執行 然後在左邊的視窗貼上以下路徑 C:\WINNT\system32\spoolsvc.exe C:\WINNT\system32\iexplore.exe 按下「MoveIt」，如果系統要求重開機，按「YES」 接下來重開機 把網路關掉 到控制台 - 系統管理工具 - 電腦管理 - 共用資料夾 (這是XP的 2003可能不一樣) 裡的共用跟工作階段看看有沒有什麼是不該分享的 例如下面的: C$\Documents and Settings\All Users\Documents\$ Admin$\system32 C$\winnt\system32 C$\winnt 當然如果這些資料夾是[你自己開的]就沒關係 兩台電腦都要查看喔 最後把有Administrator權限的帳號都換密碼 一樣也是網路關掉 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.138.70.20