Re: [求救] 一疑似利用隨身碟傳染的木馬程式

作者junorn (威廉華勒斯)

看板AntiVirus

標題Re: [求救] 一疑似利用隨身碟傳染的木馬程式

時間Mon Nov 16 14:07:05 2009

注意：此回應僅限此篇處理。複製底下 **號之間的文字不包含 **號 ** File:: C:\msbackup.exe c:\windows\system32\ntprint.exe c:\program files\mmsbackup.exe c:\windows\system\ieremove.exe c:\windows\system\csrss32.exe c:\windows\calcs.exe c:\windows\sndvols.exe c:\windows\system32\drivers\oreans32.sys c:\temp\temp.bat c:\windows\wutdat.exe c:\program files\Common Files\Microsoft Shared\MSInfo\msbackup.exe c:\windows\ipfix.exe c:\windows\system32\ntprint.exe c:\windows\system32\drivers\oreans32.sys DRIVER:: NetDDEsvc Backup_Info oreans32 REGISTRY:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "wutdat"=- [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice] ** 之後開啟記事本按右鍵貼上複製的內容之後按另存新檔檔案名稱取名為CFSCRIPT.TXT 檔案類型選所有檔案編碼選ANSI 之後將CFSCRIPT圖示拖曳到Combofix圖示上，之後依照他指示動作執行其間不要動電腦跑完之後 1.將c:\qoobox資料夾壓縮起來傳到免空貼上來 2.將跳出來的文字報告儲存起來之後上傳後貼連結給我. -- 無論何時都是盡頭一定逃不了讓天空的鳥背著哀傷逃走嗎這裡是假縫永遠把我束縛無論是來與往也已經逝去那就是夢 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.68.130.155

推 lcjjaff:推個XDrz J老闆解了^^y 11/16 14:13

推 rambo2728:J大您好這是文字報告http://0rz.tw/K1s9x 11/16 14:30

→ rambo2728:這是qoobox的壓縮檔http://0rz.tw/Ux4p8 11/16 14:31

→ rambo2728:另外還要請教J大您我另外一台VISTA的電腦一樣用同樣步 11/16 14:32

→ rambo2728:驟嗎??? 應該是同樣這隻病毒沒錯! 11/16 14:32

→ junorn:同一支不代表動作一樣，這有帶木馬下載功能的樣子，一次一 11/16 14:34

→ junorn:台 11/16 14:34

→ junorn:再來將底下的檔案壓縮起來之後傳到免空貼連結上來,貼完後 11/16 14:34

→ junorn:將這兩個檔刪掉，但這兩個檔可能會再生，再生就不管他. 11/16 14:35

→ junorn:c:\windows\system32\calc.exe 11/16 14:35

→ junorn:c:\windows\system32\sndvol32.exe 11/16 14:35

→ junorn:刪完之後一樣再跑COMBOFIX報告上來 11/16 14:36

推 rambo2728:J大您好，這是LOG檔http://0rz.tw/7GsA8 11/16 14:48

→ rambo2728:這是壓縮檔案http://0rz.tw/rZzWi 11/16 14:49

→ rambo2728:關於vista那台 J大您晚上方便嗎因為我現在人在實驗室裡 11/16 14:50

→ junorn:不方便，有需要的話就一定貼報告上來就好了. 11/16 14:52

推 rambo2728:恩那我現在衝回去宿舍好了XD...還請J大您稍等會 11/16 14:54

推 rambo2728:J大，現在在VISTA那台電腦遇到的最大的問題是當執行 11/16 16:07

→ rambo2728:Combofix時候，當畫面跑到尋找感染的文件...掃描時間容 11/16 16:08

→ rambo2728:易加倍那畫面時候就會卡在那裡等了快30分鐘一樣還 11/16 16:09

→ rambo2728:是不為所動請問這情況是...還有得救嗎... 11/16 16:09

→ junorn:那跑EFix吧.看能不能跑 11/16 16:21

推 rambo2728:SORRY 剛被老闆CALL走...J大我這邊補上EFix掃出來的兩檔 11/16 17:23

→ rambo2728:EF_Extras.TXT http://0rz.tw/S28bs 11/16 17:25

→ rambo2728:LOG.TXT http://0rz.tw/RcE4y 11/16 17:26

→ rambo2728:還得麻煩J大您了感謝! 11/16 17:26

→ lcjjaff:VISTA那台看起來沒事耶XD 11/16 17:50

推 rambo2728:之前我也這樣以為阿但只要把隨身碟插上去那三個檔案 11/16 18:07

→ rambo2728:MyDocuments.scr Photo.scr Winzip.pif就都會再出現在 11/16 18:08

→ rambo2728:隨身碟裡頭O_Q 11/16 18:08

推 rambo2728:更慘的是下午才用EFix把windows.exe刪除剛剛回宿舍開電 11/16 20:48

→ rambo2728:腦....他又回來啦....囧....而且他其他感染的檔案又不於 11/16 20:49

→ rambo2728:之前那台XP是msbackup.exe 外加COMBOEFix不知道為啥會像 11/16 20:50

→ rambo2728:卡死一般停住無法執行....傷透腦了...囧 11/16 20:50

→ rambo2728:目前在這台VISTA除了偽裝成WINDOWS.EXE之外另外又偽裝 11/16 20:54

→ rambo2728:成哪個檔案...真的還有待查驗.... 11/16 20:54

→ junorn:夭壽喔....那個隱藏屬性不要隨便用啦，擬系統屬性全亂了.. 11/16 21:02