※ 引述《tefa ((ㄏ ̄▽ ̄)ㄏ)》之銘言:
: 問題描述:
: 兩台電腦一次中毒,NOD32辨別為 Win32/poebot.nbf trojan
: 上網NOD32就會跳出中毒視窗,只能被隔離,進安全模式掃毒也掃不到
: Spybot,AD-aware也掃過了,都無法解決 T.T
: 報告連結:
: 請將掃描報告(log)貼於下方 (上面的全要)
: Combofix :combofix不支援 Win Server 2003
: Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/32444.txt
: SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/32446.txt
: 掃毒報告 :http://sun.cis.scu.edu.tw/~92a39/upload/32445.txt
這台沒看到什麼異常的東西
: 另一台電腦的log報告
: Combofix :combofix不支援 Win Server 2003
: Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/32455.txt
: SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/32457.txt
: 掃毒報告 :http://sun.cis.scu.edu.tw/~92a39/upload/32456.txt
: 拜託了各位。
: 謝謝
這台中毒 到安全模式下 執行SRENG
啟動專案 - 註冊表
找下面這兩個
名字 數據
Spooler SubSystem App C:\WINNT\system32\spoolsvc.exe
Microsoft Internet Explorer C:\WINNT\system32\iexplore.exe
找到後 按[刪除]
然後再到C:\WINNT\system32\底下
找spoolsvc.exe 找到之後 手動刪除
iexplore.exe從SRENG的報告裡顯示File is missing
應該是被NOD32幹掉了
如果檔案刪不掉 那先下載OTMoveIt2
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
到安全模式下執行 然後在左邊的視窗貼上以下路徑
C:\WINNT\system32\spoolsvc.exe
C:\WINNT\system32\iexplore.exe
按下「MoveIt」,如果系統要求重開機,按「YES」
接下來重開機 把網路關掉
到控制台 - 系統管理工具 - 電腦管理 - 共用資料夾 (這是XP的 2003可能不一樣)
裡的共用跟工作階段看看有沒有什麼是不該分享的
例如下面的:
C$\Documents and Settings\All Users\Documents\$
Admin$\system32
C$\winnt\system32
C$\winnt
當然如果這些資料夾是[你自己開的]就沒關係
兩台電腦都要查看喔
最後把有Administrator權限的帳號都換密碼 一樣也是網路關掉
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.138.70.20