推 George017: 有試過從F8開機進安全模式掃描、更新嗎? 12/21 23:01
2011/11/28,手動也無法線上更新就算了,
到官網下載 vdf_fusebundle.zip 再手動讀取更新,也沒用。
後者在分明已連上網的情況下,跳出小視窗說不能連上 Internet。
擷圖 http://imgur.com/a/8z46R
剛剛要查 COMODO Firewall 的版本,大小視窗也是慢慢跳出來,
都要搞漸凍嗎?
癥狀和回顧
系統重開機後,竟然非常卡,打開幾個軟體的視窗會凍結,
進工作管理員查 CPU使用率頂多 4%~8%。
隨後巡了一下「處理程序」,赫然見到
explorer.exe 和 MDM.EXE 這兩個可疑的執行檔。
(explore / explorer,有 r 或沒 r,真真假假很難分。mdm / MDM 也是一樣)
之後,從工作管理員那裡選擇關機,可正常關機。
然後再重新開機,也就是目前運行這次。
由於 PC 有用 eMule下東西,所以全天運行。以下所述軟體,都是從官網下載。
在出問題前運行的這些天裡,有下載山寨國 115.com 網盤的客戶端「優蛋」,
運行起來沒問題。但是當 Orbit Downloader 在下載完 115專用瀏覽器安裝檔後,
被 Immunet 3.0攔截,跳出小視窗說「有木馬且已隔離」。
另外,下載安裝另一個山寨國網盤 Rayfile的客戶端下載軟體 RaySource的安裝檔,
也被 Immunet 3.0攔截,跳出小視窗說「有木馬且已隔離」。
再來是還安裝了兩個應該不會有問題的軟體,
一個是分散運算的 BOINC Manager,一個是 WowUSBVirusKiller 0.80
Immunet 3.0 無法暫停就乾脆先移除再掃毒
SREng 這個 API HOOK 指出 system32\guard32.dll 有問題, 不知有何影響??
2. 系統資料:
XP pro SP3
IE 8.0
掃毒軟體:用了 Avira (3年多的經驗)和輔助的連線版 Immunet 3.0 (3~4個月的經驗)
Avira 小紅傘
Virus definition file 7.11.18.110 2011/11/28
Product version 10.2.0.704 2011/9/28
Search engine 8.02.06.120 2011/11/23
Immunet 3.0
防火牆 COMODO Firewall 5.0.163652.1142
順帶提一下硬體狀況
CPU DualCore AMD Athlon II X2 260, 3215 MHz
主機板 MSI GF615M-P33 (MS-7597)
晶片組 nVIDIA nForce 7025-630a, AMD K10
RAM 3072 MB (DDR3-1333) Kingston
[插了兩條 4G,一共 8G,XP抓不到的就設成 RamDisk]
顯示卡 NVIDIA GeForce 210 (1024 MB)
BIOS AMI (03/14/11)
3. 分析報告:
F-secure On-line Scan 報告:
http://sun.cis.scu.edu.tw/~92a39/upload/41739.txt
Combofix報告:
http://sun.cis.scu.edu.tw/~92a39/upload/41736.txt
Hijackthis :
http://sun.cis.scu.edu.tw/~92a39/upload/41737.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/41738.txt
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 122.125.40.245
1. 敘述問題:
Thanks in advance!!!
感覺不放心,還是上來請高手幫忙判斷。不知中了什麼毒。
\WINDOWS 和 \program files 目錄在 F-secure 線上掃毒都沒掃出。
所有檢測與上網,包括打這篇文章,都是用這大有疑問的 PC。
Avira 小紅傘 和 Immunet 3.0 似乎非常奇怪,
前者病毒定義檔竟然是