[中毒] 狂變形的木馬!Win32/PSW.OnLineGames.NMP
1.問題描述:
上週從學弟手中接過他的隨身碟存音樂檔後,電腦開關機變很慢!
一度懷疑是最近趕論文太操電腦了,
筆電溫度過高所引起(會這樣嗎?我是asusM9V 跟傳說中一樣很燙).
一開始是開機會跑出 "kavo.exe"這個檔案,我當然是沒開.
可是用搜尋也找不到這個檔案.
之後我就開NOD32防毒軟體去掃,掃完沒毒??
後來一層層仔細找終於找到它,趕緊砍掉了。
但之後電腦開關機還是很慢,甚至有時得強迫關機才關的起來。
今天再次掃毒,選用「深入分析」(第一次掃是用「手動掃瞄」)
竟然就跑出好幾各毒!!
有的可以移除,有一個則無法(木馬Win32/PSW.OnLinegames.nmp)->僅可選擇離開.
把可移除的處理掉後再次啟動,一掃又跑出另外幾個毒.
下午掃到木馬之後,
從桌面點選「我的電腦」很久才能開啟(這表示木馬在吃我的硬碟嗎?)
到現在(晚上九點半)我已經掃了五次毒了吧!每次掃都跑出新的感染木馬病毒檔案.
我的天啊!!怎麼辦?該不會最後把論文也吃掉了??
(很奇怪,擔心的要命但word檔目前使用正常,這是風雨前的寧靜嗎?)
我想是木馬毒根未除??!! 故來此求解毒方法,請救我>"< 拜託拜託!!
2.掃毒報告:
第一個跑出來的是:系統檔案感染木馬 Win32/PSW.OnLinegames.nmp.
還有"tavo1.dll"這個東西(搜尋也是找不到!本想直接把它刪掉)
其後又跑出四個中毒檔案,但皆可移除。
第二次掃毒的也是如此,除了原有的木馬無法移除,其他小毒可移掉。
3.系統輔助分析軟體掃描報告:
此處報告為需了解你系統內有何程式啟動和常駐所必須要的報告
請將掃描結果上傳至置底空間,置底空間無法使用者請改用http://www.kotuha.com
使用方式:
Combofix: http://reinfors.googlepages.com/Combofix.html
Hijackthis: http://reinfors.googlepages.com/Hijackthis
SRENG: http://reinfors.googlepages.com/SRENG.html
如無法使用網路請看精華區 1 - 8 使用方式
4.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix :
Hijackthis:
SRENG :
掃毒報告 :
目前第三次掃毒中,po文要求的第三四項我研究一下再來補.
感謝!!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 192.192.154.54
推
07/16 17:45, , 1F
07/16 17:45, 1F
→
07/16 17:53, , 2F
07/16 17:53, 2F
推
07/16 17:59, , 3F
07/16 17:59, 3F
→
07/16 18:05, , 4F
07/16 18:05, 4F
推
07/16 18:14, , 5F
07/16 18:14, 5F
※ 編輯: shuee 來自: 192.192.154.54 (07/16 21:33)
推
07/17 12:57, , 6F
07/17 12:57, 6F
→
07/23 02:28, , 7F
07/23 02:28, 7F