1. 敘述問題： Thanks in advance!!! 感覺不放心，還是上來請高手幫忙判斷。不知中了什麼毒。 \WINDOWS 和 \program files 目錄在 F-secure 線上掃毒都沒掃出。 所有檢測與上網，包括打這篇文章，都是用這大有疑問的 PC。 Avira 小紅傘 和 Immunet 3.0 似乎非常奇怪， 前者病毒定義檔竟然是 2011/11/28，手動也無法線上更新就算了， 到官網下載 vdf_fusebundle.zip 再手動讀取更新，也沒用。 後者在分明已連上網的情況下，跳出小視窗說不能連上 Internet。 擷圖 http://imgur.com/a/8z46R 剛剛要查 COMODO Firewall 的版本，大小視窗也是慢慢跳出來， 都要搞漸凍嗎？ 癥狀和回顧 系統重開機後，竟然非常卡，打開幾個軟體的視窗會凍結， 進工作管理員查 CPU使用率頂多 4%～8%。 隨後巡了一下「處理程序」，赫然見到 explorer.exe 和 MDM.EXE 這兩個可疑的執行檔。 (explore / explorer，有 r 或沒 r，真真假假很難分。mdm / MDM 也是一樣) 之後，從工作管理員那裡選擇關機，可正常關機。 然後再重新開機，也就是目前運行這次。 由於 PC 有用 eMule下東西，所以全天運行。以下所述軟體，都是從官網下載。 在出問題前運行的這些天裡，有下載山寨國 115.com 網盤的客戶端「優蛋」， 運行起來沒問題。但是當 Orbit Downloader 在下載完 115專用瀏覽器安裝檔後， 被 Immunet 3.0攔截，跳出小視窗說「有木馬且已隔離」。 另外，下載安裝另一個山寨國網盤 Rayfile的客戶端下載軟體 RaySource的安裝檔， 也被 Immunet 3.0攔截，跳出小視窗說「有木馬且已隔離」。 再來是還安裝了兩個應該不會有問題的軟體， 一個是分散運算的 BOINC Manager，一個是 WowUSBVirusKiller 0.80 Immunet 3.0 無法暫停就乾脆先移除再掃毒 SREng 這個 API HOOK 指出 system32\guard32.dll 有問題, 不知有何影響?? 2. 系統資料： XP pro SP3 IE 8.0 掃毒軟體：用了 Avira (3年多的經驗)和輔助的連線版 Immunet 3.0 (3~4個月的經驗) Avira 小紅傘 Virus definition file 7.11.18.110 2011/11/28 Product version 10.2.0.704 2011/9/28 Search engine 8.02.06.120 2011/11/23 Immunet 3.0 防火牆 COMODO Firewall 5.0.163652.1142 順帶提一下硬體狀況 CPU DualCore AMD Athlon II X2 260, 3215 MHz 主機板 MSI GF615M-P33 (MS-7597) 晶片組 nVIDIA nForce 7025-630a, AMD K10 RAM 3072 MB (DDR3-1333) Kingston [插了兩條 4G，一共 8G，XP抓不到的就設成 RamDisk] 顯示卡 NVIDIA GeForce 210 (1024 MB) BIOS AMI (03/14/11) 3. 分析報告： F-secure On-line Scan 報告： http://sun.cis.scu.edu.tw/~92a39/upload/41739.txt Combofix報告： http://sun.cis.scu.edu.tw/~92a39/upload/41736.txt Hijackthis ： http://sun.cis.scu.edu.tw/~92a39/upload/41737.txt SRENG ： http://sun.cis.scu.edu.tw/~92a39/upload/41738.txt -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 122.125.40.245