[求救] win7 X64有種被攻陷的感覺

作者estupid (For What)

看板AntiVirus

標題[求救] win7 X64有種被攻陷的感覺

時間Thu Sep 2 01:44:39 2010

1. 敘述問題：自從升級RAM後灌了X64 紅傘一直冒出病毒通知前天中一套 a.bat, gz ,run.vbs ,ff.bat 昨天中假的系統檔檔名我忘了今天中假的 csrss.exe 之前X32時期沒這麼嚴重過東西都灌一樣的頂多有X64的軟體換X64 不知道哪裡被開洞了懇請高手幫忙 2. 系統資料：使用的作業系統 Windows7 X64 使用的防毒軟體小紅傘 COMODO 5 BETA 3. 分析報告： Combofix報告： LOG沒有出來.... Hijackthis ： http://sun.cis.scu.edu.tw/~92a39/upload/40349.txt SRENG ： http://sun.cis.scu.edu.tw/~92a39/upload/40350.txt -- ╱▇▇╲ 哈哈哈～～來追我呀 ◢██◣ 哈哈哈～～你這個小壞蛋 │ │ ◤◤◤◤ ● ● │ ． ● ● ╲▼ ╱ ． "〃＿＿＿◥▼ ◤◣ /※※\ … … └≡▆▇▇▅▅▆▆ < ﹨ C4 ‥ " ▇》▃(└▇▆ 阿富汗愛情故事 ψmroscar -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.34.0.239

推 elfkiller:有被植入rookie 但資訊太少我看不出來隱藏在哪 09/02 08:00

推 elfkiller:關掉comodo,再用combofix和sreng掃一次看看 09/02 08:05

→ elfkiller:不過建議全部槽格式化重灌,如果重要資料都有備份的話 09/02 08:06

推 elfkiller:抱歉,是rootkit,英文太破... 09/02 08:08

推 elfkiller:忘了說,關comodo前記得先拔掉網路線 09/02 08:13

→ estupid:收到等等來試 09/02 10:09

以下為安全模式執行.. combofix說不支援X64= = sreng http://sun.cis.scu.edu.tw/~92a39/upload/40351.txt ※ 編輯: estupid 來自: 114.34.0.239 (09/02 10:29)

→ terry77720:怪邏輯 09/02 14:25

→ jxpc:好奇詢問登入的帳戶權限是[受限制的使用者]還是[系統管理員] 09/04 05:38

→ jxpc:控制台-使用者帳戶-視窗右方會告知帳號名稱和權限類型，以及 09/04 05:40

→ jxpc:是否受密碼保護(使用者是否有設定登入密碼) 09/04 05:40

→ jxpc:還有想詢問UAC(電腦變更的通知時機)等級 09/04 05:41

→ jxpc:更正，[受限制的使用者]在Win7應為[標準使用者] 09/04 05:44

推 eragon:如果嫌麻煩重灌最快平常就要養成備份資料的習慣 09/04 13:23

→ estupid:系統管理員要用CMD叫出來那種 09/04 23:46