請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明):
大概前一個禮拜開始,防毒軟體(symantec)就時不時跳出掃到病毒,
關掉之後過不久又會再跑出來,大部分都像是下面這樣
Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: Hacktool.Rootkit
File: C:\WINDOWS\system32\DRiVeRs\brwcnz.rxr
Location: C:\WINDOWS\system32\DRiVeRs
今天一開機就直接電腦就自己開IE跳MSN的首頁,網址很奇怪
是h ttp://tw.msn.com/?ocid=iefvrt
關掉了又會一直跳出來,一跳出來防毒又說掃到東西
進安全模式掃毒了沒有掃到東西,用spybot是有掃到木馬,也清掉了
跑了ComboFix HijackThis SRENG,有刪掉一些檔案,不過到現在變成一連上線
連線狀態裡已傳送的位元組數字就往上狂跳,網頁也連不上去,
BBS是可以連線,不過很卡,只有剛開啟網路連線時連得上去
過不久就會中斷連線
剛剛IE又自己開啟MSN的網頁了,同時防毒軟體也跑出說掃到東西,向上面列的那樣
然後BBS又可以連了 囧
問題很多,今天忙了一個晚上都沒有辦法解決,
請大德伸出援手,感激不盡~
掃毒:
請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間
如會掃描很久請最少掃描以下位置和防毒軟體顯示的中毒檔案位置:
C:\Windows\System32 C:\Windows C:\Program Files
請盡可能提供掃毒報告,如無法掃描請務必註明,也可使用線上掃毒掃描報告
線上掃毒使用方式請看精華區(z-★線上掃毒網站)
如使用者確定有中毒情形但無法解決時請依照此篇依序處理過.
如一樣無法解決則請至第4點描述中毒情形並附上系統分析報告.
1.請先更新安全性更新MS08-067 (KB958644) MS08-068 (KB957097)
http://www.microsoft.com/taiwan/technet/security/bulletin/MS08-067.mspx
http://www.microsoft.com/taiwan/technet/security/bulletin/ms08-068.mspx
2.請使用暫存檔清除軟體清除暫存資料並重開機
ATF Cleaner: http://sylovanas.blogspot.com/2009/04/atf-cleaner.html
3.如掃毒位置在System Volume Information資料夾內請將系統還原關閉
關閉方式: http://support.microsoft.com/kb/310405/zh-tw
4.如上述處理過後皆無法解決時,則請描述中毒的檔案位置以及處理過程
並附上系統分析報告
處理過程:
掃毒報告( 或中毒的檔案名稱位置 ):
正常模式下防毒跳出的內容如下面所示,位置大部分都在
C:\Documents and Settings\LocalService\Local Settings
\Temporary Internet Files
C:\WINDOWS\TEMP\
C:\WINDOWS\system32\
Scan type: Auto-Protect Scan
Event: Threat Found!
Threat: Backdoor.Trojan
File: C:\WINDOWS\system32\RpcS.dll
Location: C:\WINDOWS\system32
Computer: CHEN
User: SYSTEM
Action taken: Clean failed : Quarantine failed : Delete succeeded :
Access denied
系統分析報告的下載位置和使用說明 (下列連結內有附使用說明 ):
請將掃描過後的文字報告利用免費空間或chi39大提供的空間上傳後貼至下方
Combofix:
http://sylovanas.blogspot.com/2009/04/combofix.html
Hijackthis:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe
執行後,選 Do A System Scan And Save A Logfile
將跑完後開啟的文字檔案傳到置底空間Po上來
Sreg:
http://sylovanas.blogspot.com/2009/04/system-repair-engineer-sreng.html
執行順序 Combofix -> hijackthis -> Sreng
此處報告為需了解你系統內有何程式啟動和常駐所必須要的報告
Combofix :http://sun.cis.scu.edu.tw/~92a39/upload/35152.txt
Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/35153.txt
SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/35154.txt
掃毒報告 :
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.112.193.57
PO文請使用下列格式並將有要求的檔案附上
資料越詳細才有辦法了解情況並作適當處理
問題描述: