推 verses:分析作業開始 11/19 21:01
推 verses:請重新開機 確保該程式正在執行後重新產生三個報表 11/19 21:04
推 verses:另外請勿手動開啟其他程式,以免影響判定。 11/19 21:06
好 我重新再跑一次
推 ra065311:判定為jh1病毒之變種。 11/19 23:42
推 ra065311:已經發送水球 若未看到請按Ctrl+U+L查看紀錄 11/19 23:55
→ ra065311:已發水球但未獲回應...... 11/20 00:18
問題解決了,謝謝 r 大!!
推 ra065311:剛剛收到工程師報告了 11/20 01:22
→ ra065311:除了說問題排除外,還說因為病毒來源未知,不排除再次中 11/20 01:22
→ ra065311:毒,明天上班日會直接寫個檔案,方便日後殺毒。 11/20 01:23
那我這幾天再觀察一下有沒有發生 CPU 被佔用的情形
推 ra065311:麻煩了 11/20 01:42
→ ra065311:新問題? 11/20 22:56
感覺問題還是一樣,會有隻程式佔用系統資源
推 verses:原PO是否有使用Google瀏覽器出現廣告的問題? 11/21 00:37
沒有遇到這個問題耶!
→ fatstan:可以用Live光碟將那檔案刪掉 再增加相同檔名的資料夾看看 11/21 09:18
→ fatstan:之後可利用Comodo、Kaspersky、TrendMicro-HouseCall掃描 11/21 09:21
→ fatstan:因為檔案上傳到Virustotal 只有這三家有反應 11/21 09:22
檔案刪除後,下次開機還是有可能會跑出來
我先試看看那三個掃毒軟體
→ fatstan:我的意思是在pts5a.exe原本位置新增叫pts5a.exe的資料夾 11/22 08:26
→ fatstan:阻止pts5a.exe出現 原理跟隨身碟放Autorun.inf資料夾一樣 11/22 08:31
→ fatstan:jh1d.exe也可以這樣試 11/22 08:32
Comodo有偵測出來,但也只有把jh1d.exe刪除而已
→ ra065311:jh1有至少26個變種,這樣做效果不大。 11/22 14:15
推 kaara:求解決方法,這個問題困擾我很久了! 11/22 14:37
推 ra065311:樓上請閱讀置底文 然後發文並附上三個報表 11/22 14:40
→ fatstan:找出問題前先把占資源的程式砍掉 我想先治標可能比較好 11/22 17:04
目前還是找不到病毒來源
也就是說重開機後jh1d.exe或其他檔名的程式依然會佔用系統資源
→ fatstan:新增同名資料夾沒用嗎 11/22 17:22
看來沒用,剛跑出一個 wc1a.exe 程式照樣佔用系統資源
→ fatstan:去抓最新的Dr.Web CureIt!做全機掃瞄 應該可以抓到一些 11/22 17:33
沒抓出什麼東西,到是把學校的 vpn 軟體砍掉了
→ fatstan:ra大可能要你置底的程式再跑一次 那就再跑看看 11/22 17:36
→ tomuser:好的 11/22 17:40
→ fatstan:看錯 ra大是要ka大跑 你可以上網搜尋RunScanner 有教學 11/22 17:43
→ fatstan:他有線上分析 我也比較習慣他的報告方式 掃完再上傳 11/22 17:46
剛跑完 RunScanner 了
runscanner.log :http://www.sendspace.com/file/32zp0r
runscanner.run :http://www.sendspace.com/file/kjkexr
online malware analysis report :http://ppt.cc/uHSH
推 ra065311:汗顏 難怪我都找不到jh1d 下次先跑SRENG 11/22 23:03
推 ra065311:目前所需報表樣本不足,檔案樣本則是還在分析中。 11/23 08:00
→ fatstan:你有一些系統檔案看不到公司名稱 不知道是不是被替換 11/23 08:20
→ fatstan:有裝winrar的話順便砍掉 你有7-zip應該還好 11/23 08:24
→ fatstan:然後在system32下找nvvsvc.exe並壓縮上傳 11/23 08:31
nvvsvc.exe:http://www.sendspace.com/file/ad0olx
解壓縮密碼:ptt
推 ra065311:樓上的意思是? N家的顯卡有這檔案屬正常 11/23 08:37
→ ra065311:C:\Program Files\mutualpublic 樓主請將該資料夾整個製 11/23 08:38
→ ra065311:成壓縮檔上傳到免空 11/23 08:38
mutualpublic.zip:http://www.sendspace.com/file/7tby3u
解壓縮密碼:ptt
→ fatstan:我知道阿 只是報表沒顯示公司 想確認一下 11/23 08:51
→ ra065311:了解 11/23 09:12
推 ra065311:糗了 我手邊的工具沒辦法分析Monitor.exe 11/23 09:18
剛剛打開SRENG出現這個訊息說 AppInit_DLLs 被修改為非正常值
圖:http://ppt.cc/s3i6
→ ra065311:跑一份報表看被改成什麼值 11/23 10:17
SREngLOG.log:http://www.sendspace.com/file/nps7so
→ ra065311:N牌顯卡用走而已 先不理會 11/23 10:26
→ ra065311:原PO先將電腦重開,連上網路後按左下角開始。 11/23 10:32
→ ra065311:在搜尋欄輸入cmd,在找到的程式按滑鼠右鍵"以系統管理員 11/23 10:32
→ ra065311:身分執行" 而後在跳出來的視窗輸入netstat -a -n 11/23 10:33
→ ra065311:將結果拍照上傳上來。在操作期間請勿開任何網頁或會使用 11/23 10:33
→ ra065311:網路的程式,以免影響判斷。 11/23 10:34
netstat.txt:http://www.sendspace.com/file/83ogg0
推 ra065311:未發現可疑的連線,不過這讓我想起數據機中毒那件。 11/23 11:16
家中其他電腦沒有出現異常情況
推 fatstan:你用掃描Rootkit的程式例如GMER之類的看有沒有隱藏的東西 11/23 11:51
看不懂...
GMER.log:http://www.sendspace.com/file/tpu22v
→ fatstan:修正完後再用runscanner掃一次 11/23 12:17
runscanner.log:http://www.sendspace.com/file/r9i74t
runscanner.run:http://www.sendspace.com/file/rrb3fl
online malware analysis : http://ppt.cc/O5uO
→ fatstan:還是找不到T.T 最後抓HitmanPro來掃(需連網) 最後一步了 11/23 20:00
HitmanPro_20131124_0027.log:http://www.sendspace.com/file/9ea2rc
什麼都沒掃出來Q_Q
→ mmis1000:用Process Monitor追蹤看看存取的檔案/機碼? 11/24 00:50
Process Monitor所產生的log檔如下: (三個檔案都一樣,只有格式不同而以)
Logfile.csv:http://www.sendspace.com/file/bre1qf
Logfile.PML:http://www.sendspace.com/file/rm92nq
Logfile.XML:http://www.sendspace.com/file/m5ptq5
這次是jh1e.exe這隻程式在佔用系統資源
可以幫忙看一下嗎?
謝謝
→ mmis1000:spiderman.pts1 奇怪的東西 11/24 16:29
→ mmis1000:是由cmd呼叫jh1e.exe執行spiderman.pts1 jh1e似乎非本體 11/24 16:30
→ mmis1000:jh1e.exe似乎只是服務宿主(像svhost)之類的 11/24 16:31
推 CriLit:最近小弟我也中類似的病毒, 自己手動清除了一些東西, 11/24 18:50
→ CriLit:不知道有沒有關聯, service 的 wincompute 11/24 18:51
→ CriLit:然後 c:\program files\ 底下的 mutualpublic 資料夾 11/24 18:51
→ CriLit:我把整個資料夾都砍了, 因為我發現裡面的 monitor.exe 11/24 18:52
→ CriLit:一直在執行, 目前過了兩天還未復發 11/24 18:52
→ CriLit:之前只刪 wincompute service 時仍會復發 11/24 18:52
→ verses:樓上說的沒錯,所以我才會要求原PO提供這檔案。 11/24 21:44
謝謝Cri大的資訊
推 ra065311:請原PO來信告知可進行遠端的時間,將聯絡工程師處理。 11/25 01:16
→ ra065311:這大概是我最後一個案子了,接下來我要請假一段時間。 11/25 01:17
謝謝 ra065311 大大的幫忙
我這幾天會持續觀察是否有複發的情況
推 verses:不用客氣。基本上不會復發了,因為源頭已被清除。 11/26 01:08
※ 編輯: tomuser 來自: 1.173.52.125 (11/26 16:54)