※ [本文轉錄自 NtuDormM8 看板] 作者: Tynger (男八網管) 看板: NtuDormM8 標題: [網管]被鎖ip但掃不到毒 時間: Mon May 15 16:01:22 2006 自從計中開始啟用自動鎖ip後，有許多人被鎖了ip 但用掃毒程式掃的結果卻跟他說沒有病毒 以下我先列出幾種我遇過有可能誤判你的電腦為中毒的情況： ------------------------------------------------------------------------- [CERT_FTP]、[CERT_TELNET]、[CERT_SSH]： 以上三種都是判斷你在某時間間隔內，對該服務port的連線數超過一定程度 所以似乎有case是由於你連線的站台一直連不上，但你的連線軟體用極快的速度 一直幫你重新連線，導致你被計中的系統判定為中毒而被鎖。 ------------------------------------------------------------------------- 其他： 你使用的P2P軟體去佔用到一些well-known port ------------------------------------------------------------------------- 如果上述情況都跟你的狀況不符，最有可能的原因就是你的病毒定義碼不夠新 所以你的防毒軟體沒有辦法幫你掃出該病毒來。 這邊列出被鎖後建議的處理方法： 1.下載最新的掃毒程式來進行清理，底下為趨勢公司的System Cleaner，會幫你掃描 並結束記憶體中所有的惡意程式，將惡意程式從registry entries以及系統檔裡移除， 最後還會掃描並刪除所有硬碟裡的惡意程式(將第二個連結的病毒更新碼的壓縮檔解開後 再將第一個連結的system cleaner放到該資料夾)。 http://www.trendmicro.com/ftp/products/tsc/sysclean.com http://www.trendmicro.com/download/zh-tw/pattern.asp 2.如果還是掃不出病毒來，你有可能被殖入了隱藏式的後門或木馬程式。請先關閉所有你 目前正在使用的網路連線，再到命令提示字元底下，鍵入 "netstat -n"，它會列出你 的電腦目前所有對外的連線，如果有異常的連線存在，那可能就是它的問題了，這時可 以照著http://cert.ntu.edu.tw/security/detail.htm#d9來作進一步的檢查。 關於移除後門程式，以下是計中的網安精華區裡的建議： =============================================================================== | | | 當使用者檢視檢查工具列出主機中正在執行的process時，馬上會有人想問的問題是， | | 我又不是Windows的專家，我怎麼知道哪些process是正常的，哪些process是可疑的 | | 呢?建議大家可以將process名稱輸入到網頁搜尋引擎(例如http://www.google.com)。 | | 如果搜尋結果是Windows系統的process就不用擔心，如果找不到或者找到是惡意程式 | | 的話，請至該程式的所在檔案夾中刪除該執行檔。有時候使用者會遇到程式正在執行 | | 無法刪除的情況，可以啟動「工作管理員」(按CTRL+ALT+DELETE鍵)，從「處理程序」 | | 中結束該處理程序。如果還是無法刪除該執行檔，就需要從安全模式開機，再將該執 | | 行檔刪除。 | =============================================================================== 希望大家在掃不出病毒時，能照著上述的情況來一一排除你因為同樣原因再被鎖的可能性 之後，再寄信請我幫你解開。再提醒一次，連續因同樣原因被鎖者會加鎖一個禮拜。 如果你寄信來請我幫你解鎖時沒有特別提的話，我也會視為你已經照著以上步驟作過，而 不再特別提醒了。 最後一樣，有任何問題歡迎與我聯絡。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.112.30.84 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.85.36.186