Re: [中毒] 這病毒會透過 137,138 port 發廣播封包 …
※ 引述《kendall66 (大叔)》之銘言:
: 1.問題描述:
: 請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明):
: 一. 在很短的時間內,中毒的電腦會透過 port 137 netbios-ns 或 port 138
: netbios-dgm廣播出(140.111.91.255)大量封包,每秒鐘可能數十到上百個封包。
: 二. 由於幾乎所有電腦都中毒,所以判斷應是有系統漏洞可以進入。
: 三. 幾十台電腦同時發封包的狀況會造成網路印表機無法列印,網路應用程式
: 無法正常運作,網路速度變慢,屬於DDOS(分散式服務阻斷)現象。
: 四. 有硬碟的影印機(有網路列印功能)也會中毒一起發封包。
: 2.掃毒報告:
: 請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間
: 多部電腦用 Avira 掃毒時會在 c:\windows\system\mdm.exe 找到這個有毒檔案
: 但是掃完毒後還是繼續發封包
: 4.報告連結:
: Combofix: http://sun.cis.scu.edu.tw/~92a39/upload/32788.txt
: Hijackthis: http://sun.cis.scu.edu.tw/~92a39/upload/32789.txt
: SRENG: http://sun.cis.scu.edu.tw/~92a39/upload/32790.txt
版上的高手好
關於這篇求救文
不知道是否有更詳細的 分析呢
因為我也是如此的狀況
從我的 防火牆可以看得出來 開了許多網路芳鄰的連接
小紅傘掃出來 有以下可疑檔案
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet
Files\Content.IE5\8XMV01UV\qzpezqc[1].jpg
[DETECTION] Contains recognition pattern of the WORM/Conficker.gen worm
C:\WINDOWS\Downloaded Program Files\barhelp24.0.dll
[DETECTION] Contains recognition pattern of the ADSPY/IEBar.N adware or
spyware
C:\WINDOWS\system32\npkSvcUpdate.exe
[DETECTION] Is the TR/Downloader.Gen Trojan
C:\WINDOWS\Downloaded Program Files\iebar23.0.dll
[DETECTION] Contains recognition pattern of the ADSPY/IEBar.M.1 adware or
spyware
C:\WINDOWS\system32\fctty.dll.vir
[DETECTION] Contains recognition pattern of the WORM/Conficker.gen worm
目前更新windows到最新 已經解決
不過還是想知道怎麼回事
上週末真是慘
電腦中毒被計中鎖
身體也中毒躺在床上= =
如有違反版規我會刪文 如果造成大家困擾 在此說聲抱歉
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 140.114.203.131