PO文請使用下列格式並將有要求的檔案附上 資料越詳細才有辦法了解情況並作適當處理 問題描述： 請在下面說明碰到的中毒情形，越詳細越好(可貼圖說明)： 大概前一個禮拜開始，防毒軟體(symantec)就時不時跳出掃到病毒， 關掉之後過不久又會再跑出來，大部分都像是下面這樣 Scan type: Auto-Protect Scan Event: Threat Found! Threat: Hacktool.Rootkit File: C:\WINDOWS\system32\DRiVeRs\brwcnz.rxr Location: C:\WINDOWS\system32\DRiVeRs 今天一開機就直接電腦就自己開IE跳MSN的首頁，網址很奇怪 是h ttp://tw.msn.com/?ocid=iefvrt 關掉了又會一直跳出來，一跳出來防毒又說掃到東西 進安全模式掃毒了沒有掃到東西，用spybot是有掃到木馬，也清掉了 跑了ComboFix HijackThis SRENG，有刪掉一些檔案，不過到現在變成一連上線 連線狀態裡已傳送的位元組數字就往上狂跳，網頁也連不上去， BBS是可以連線，不過很卡，只有剛開啟網路連線時連得上去 過不久就會中斷連線 剛剛IE又自己開啟MSN的網頁了，同時防毒軟體也跑出說掃到東西，向上面列的那樣 然後BBS又可以連了 囧 問題很多，今天忙了一個晚上都沒有辦法解決， 請大德伸出援手，感激不盡~ 掃毒： 請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間 如會掃描很久請最少掃描以下位置和防毒軟體顯示的中毒檔案位置： C:\Windows\System32 C:\Windows C:\Program Files 請盡可能提供掃毒報告，如無法掃描請務必註明，也可使用線上掃毒掃描報告 線上掃毒使用方式請看精華區(z-★線上掃毒網站) 如使用者確定有中毒情形但無法解決時請依照此篇依序處理過. 如一樣無法解決則請至第4點描述中毒情形並附上系統分析報告. 1.請先更新安全性更新MS08-067 (KB958644) MS08-068 (KB957097) http://www.microsoft.com/taiwan/technet/security/bulletin/MS08-067.mspx http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-068.mspx 2.請使用暫存檔清除軟體清除暫存資料並重開機 ATF Cleaner: http://sylovanas.blogspot.com/2009/04/atf-cleaner.html 3.如掃毒位置在System Volume Information資料夾內請將系統還原關閉 關閉方式: http://support.microsoft.com/kb/310405/zh-tw 4.如上述處理過後皆無法解決時，則請描述中毒的檔案位置以及處理過程 並附上系統分析報告 處理過程: 掃毒報告( 或中毒的檔案名稱位置 ): 正常模式下防毒跳出的內容如下面所示，位置大部分都在 C:\Documents and Settings\LocalService\Local Settings \Temporary Internet Files C:\WINDOWS\TEMP\ C:\WINDOWS\system32\ Scan type: Auto-Protect Scan Event: Threat Found! Threat: Backdoor.Trojan File: C:\WINDOWS\system32\RpcS.dll Location: C:\WINDOWS\system32 Computer: CHEN User: SYSTEM Action taken: Clean failed : Quarantine failed : Delete succeeded : Access denied 系統分析報告的下載位置和使用說明 (下列連結內有附使用說明 ): 請將掃描過後的文字報告利用免費空間或chi39大提供的空間上傳後貼至下方 Combofix: http://sylovanas.blogspot.com/2009/04/combofix.html Hijackthis： http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe 執行後，選 Do A System Scan And Save A Logfile 將跑完後開啟的文字檔案傳到置底空間Po上來 Sreg: http://sylovanas.blogspot.com/2009/04/system-repair-engineer-sreng.html 執行順序 Combofix -> hijackthis -> Sreng 此處報告為需了解你系統內有何程式啟動和常駐所必須要的報告 Combofix ：http://sun.cis.scu.edu.tw/~92a39/upload/35152.txt Hijackthis：http://sun.cis.scu.edu.tw/~92a39/upload/35153.txt SRENG ：http://sun.cis.scu.edu.tw/~92a39/upload/35154.txt 掃毒報告 ： -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.112.193.57