[求問]我執行combofix處理MalwareProtector2008
我先前有PO文說我中了難纏的MalwareProtector 2008,網路上的解毒資訊幾乎都沒用
,一些所謂的解毒程式是廠商趁機假好意先幫你掃,但你要修復則需購買完整版!我一些
朋友提供給我的多種掃毒軟體,灌進去後執行 也拿這個病毒莫可奈何或掃不出來......
PS.英文網站介說這個病毒程式 will cause your pc slow down and also has the
ability to recreate itself
~~~~~~~~~~~~~~~~!!!
後來,好心的junorn大大建議執行看看combofix。
我執行以後,將情形報告給諸位大大們如下,並且請教四個問題。
首先是執行記錄(摘要,因為一些「重要登錄檔」資訊似乎佔畫面又無關,我就省略)
這些記錄約花兩個pages,請大大們檢視一下。
========
ComboFix 08-06-16.5 - abc 2008-06-18 12:15:54.1 - [color=red][b]FAT32[/b]
[/color]x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.950.1.1028.18.586 [GMT 8:00]
執行位置?: G:\ComboFix.exe
[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE
INSTALLED !![/b][/color].
(((((((((((((((((((((((((((((((((((((( 其他遭刪除的檔案 )))))))))))))))))
))))))))))))))))))))))))))))))))).
C:\Documents and Settings\abc\Application Data\Microsoft\Internet Explorer
\Quick Launch\Malware Protector 2008.lnk
C:\Documents and Settings\abc\Application Data\shcp1cj0er1q
C:\Documents and Settings\All Users\「開始」功能表\程式集
\Malware Protector 2008
C:\Documents and Settings\All Users\「開始」功能表\程式集
\Malware Protector 2008\How to Register Malware Protector 2008.lnk
C:\Documents and Settings\All Users\「開始」功能表
\程式集\Malware Protector 2008\License Agreement.lnk
C:\Documents and Settings\All Users\「開始」功能表
\程式集\Malware Protector 2008\Malware Protector 2008.lnk
C:\Documents and Settings\All Users\「開始」功能表
\程式集\Malware Protector 2008\Register Malware Protector 2008.lnk
C:\Documents and Settings\All Users\「開始」功能表\程式集
\Malware Protector 2008\Uninstall.lnk
C:\Program Files\shcp1cj0er1q
C:\WINDOWS\system32\blphcv1cj0er1q.scr
C:\WINDOWS\system32\lphcv1cj0er1q.exe
C:\WINDOWS\system32\phcv1cj0er1q.bmp
C:\WINDOWS\system32\WinCtrl32.dll
G:\RECYCLER\desktop.ini
G:\RECYCLER\Driveinfo.sdc
G:\RECYCLER\voinfo.dll
C:\Documents and Settings\All Users\「開始」功能表\程式集
\Malware Protector 2008.lnk . . . . 刪除失敗
C:\Documents and Settings\All Users\桌面
\Malware Protector 2008.lnk . . . . 刪除失敗
======
1.請大大們分析一下,上面最後兩個「刪除失敗」是什麼意思呢?意味著毒已經藏於膏肓
之中難以殺除,或只是單純藉由我「手動」殺除即可?
2.我又在開始-->搜尋,key入「Malwareprotector」,顯示不只除了上述兩個刪除失敗所
在的檔案以外,剩下一些是在所謂的Qoobox這個資料夾中的一些其他名稱的檔案。
2-a 請問「Qoobox」這個資料夾是?應該是「正常」的資料夾,不是毒吧?
2-b 依照2.的搜尋結果,其中有兩個嫌疑檔案的名稱與路徑如下所示
(恰好也跟Qoobox有關):
2-b-1:↓ 名稱 路徑
Malware Protector 2008 C:\QooBox\Quarantine\C\Documents and Settings
\All Users\「開始」功能表\程式集
2-b-2↓ 名稱 路徑
Malware Protector 2008.lnk.vir C:\QooBox\Quarantine\C\Documents and Settings
\abc\Application Data\Microsoft\Internet Explorer\Qucik Launch
註:2-b-1的檔案,我去路徑所在處察看,發現好像是一個空資料夾,
這樣是不是應該就沒事了?
但是2-b-2那個檔案/程式,似乎有很大的嫌疑。請問它是病毒嗎?
再者,我該怎麼處置它呢?
3.我在開始-->所有程式 的列表中,還是會發現「MalwareProtector 2008」的標示,只是
,點下去以後,是已經找不到。請問這是否意味這個鬼軟體已經被成功刪除了呢?我可以
把那個標示也一併刪除嗎?
4.我察看國外(這個病毒好像蠻新的,國內還沒有人中標過)網路上資訊,
很多中毒者反映說桌面被改成blue,果然也符合我受災的災情。現在執行combofix以後,
雖然與數小時前,MalwareProtector 2008 的自動執行視窗囂張地在我桌面肆虐讓我畫面
「支離破碎」(的確符合這句成語)又每一分鐘不停重開機以外,目前這些讓我電腦快掛
掉的現象暫時是沒出現了,唯一剩下桌面底色還是難看的藍色。
請問這是否顯示這個可惡病毒軟體其實還沒被清除乾淨呢?
或其實是我太過擔心,其實我只要去控制台的顯示器改底色就好了?
大大們能幫我分析一下嗎....謝謝.....
PS:因為我先前中毒,記中已經鎖住我的網卡不讓我上網了,只有我掃乾淨後通知計中並
經測試證實後,我的筆電才能連線上網(我現在藉計中電腦上網)。
所以我很需要知道我是否清毒成功了,不然我的電腦什麼事都不能先做了。
因此,求求各位大大幫忙了...謝謝....
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.112.155.191
※ 編輯: ggguesttt 來自: 140.112.155.191 (06/18 15:47)
推
06/18 16:12, , 1F
06/18 16:12, 1F
謝謝v大...我去看一下..ans:公告說Qoobox是隔離區,「重開機後就會刪除了」....
抱歉我問個蠢問題:既然Qoobox它還好端端的在我的C槽中,所以意思是要我手動刪除這個
隔離區資料夾囉?
※ 編輯: ggguesttt 來自: 140.112.155.191 (06/18 16:31)
推
06/18 16:35, , 2F
06/18 16:35, 2F
→
06/18 16:35, , 3F
06/18 16:35, 3F
→
06/18 16:37, , 4F
06/18 16:37, 4F
→
06/18 22:24, , 5F
06/18 22:24, 5F
推
06/19 01:33, , 6F
06/19 01:33, 6F
→
06/19 01:33, , 7F
06/19 01:33, 7F
→
06/19 01:34, , 8F
06/19 01:34, 8F
謝謝v大...我對電腦科技只會最單純的使用法..所以自己沒有網路空間..也沒有申請經驗
chi39大大有寫了如何上傳log檔...他說如果沒有自己網路空間 他寫了程式讓我們上傳
http://sun.cis.scu.edu.tw/~92a39/upload.php
但我點進去 發現網頁連結已失效(我在計中 但這應該跟計中防火牆無關吧)
還是麻煩哪位大大稍微多提點一下...上傳log檔的"較為具體"的步驟...感謝感謝...
※ 編輯: ggguesttt 來自: 140.112.7.59 (06/19 05:20)
推
06/19 23:12, , 9F
06/19 23:12, 9F
→
06/19 23:12, , 10F
06/19 23:12, 10F
→
06/19 23:34, , 11F
06/19 23:34, 11F