Re: [中毒] 懷疑系統被侵入, 不知道這樣處理ok不ok
※ 引述《joshuakai (joshuakai)》之銘言:
: PO文請使用下列格式並將有要求的檔案附上
: 資料越詳細才有辦法了解情況並作適當處理
: 1.問題描述:
: 請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明):
: 玩魔獸玩到一半時電腦自動重開機,當下感覺有異立即拔除網路線並重開機。
: 重開機以後有以下症狀
: 1.進入msconfig會自動重開機
: 2.windows內建防火牆被關閉, windows出現發現Win32.zafi.B的提示
: 3./system32/被植入winsys2.exe
: /system32/driver/被植入svchost.exe
: 小弟是以亂槍打鳥的方式刪除msconfig的可疑值, 解除了打開msconfig會自動重開機的問
: 題, 但也因此使msconfig在"執行"輸入後打不開, 只能去windows子資料夾下直接開啟
: 其後將和winsys以及driver/svchost.exe的相關reg都刪除, 在前面三個症狀解除後
: 開啟手邊僅有的iClean掃掃看, 然後開啟icesword觀察並啟用網路
: 在能上網後下載了版上提供的三樣軟體
我也是和你一樣
昨天完遊戲(Sim city4)玩到一半 電腦自動開機
今天早上window防火牆也出現Win32.zafi.B的提示
一樣進入msconfig 會自動開機
打開瀏覽器 就會出現現在有被攻擊危險八拉八拉
問我是否要在不安全情況下開啟瀏覽?或是連到他指示的一個網站?
如果選擇前者 大概一分鐘內就會自動關閉瀏覽器 但還可打B
如果選擇後者 就會連去http://www.defender-review.com/?a=112 這個網站
不管上多久都不受限制 如果下載他那個程式 prefect defender2009
Nod掃毒結果說他是病毒
我後來用那短短的一分鐘 用關鍵字prefect defender在Google查看看
果然有很多人說他中了這病毒
我猜測 我根本沒有中Win32.zafi.B
其實是中了 "prefect defender2009病毒"
但是現在也不知道該怎麼辦!
NOD 也掃不出我有中毒...
然後 NOD留下昨天晚上一筆隔離記錄
掃描器 HTTP 過濾器
檔案 http://78.109.18.210/lprx.php
威脅 Win32/Kryptik.CO 木馬 的一個變種
處理方式 連線中止 - 已隔離
存取 Web 時應用程式偵測到威脅:
C:\Documents and Settings\Ernest\Local Settings\Temp\wJQs.exe.
--
‧ ˙ ‧ ﹒ .
﹒ ˙ ˙ ‧
﹒ 天使不敢走的路 . ‧
. ﹒ ˙ .
﹒ 傻子一路向前衝 ‧
‧ ‧ _ˍ▁▂▃▄▅▆▇█
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 218.162.82.50
※ 編輯: sgacy 來自: 218.162.82.50 (12/23 09:15)
※ 編輯: sgacy 來自: 218.162.82.50 (12/23 09:18)
推
12/23 16:00, , 1F
12/23 16:00, 1F
→
12/23 16:01, , 2F
12/23 16:01, 2F
→
12/23 16:01, , 3F
12/23 16:01, 3F
推
12/23 17:42, , 4F
12/23 17:42, 4F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 2 之 2 篇):