[求救] (追加問題)avast和Avira大量判定exe可疑或染毒

看板AntiVirus作者quill4506 (RAIBORUTO)時間11年前 (2012/07/09 22:14)推噓4(4推 0噓 2→)

留言6則, 3人參與討論串1/1

1. 敘述問題：原先用avast時，它的自動沙盒功能無端跑出許多建議沙盒開啟執行檔的視窗而被偵測可疑的這些執行檔，不是些阿貓阿狗的exe檔而是像瀏覽器(chrome、firefox)，或是知名軟體(TT Player、會聲會影) 甚至是Java執行檔或一些微軟內建軟體的執行檔因為數量不少，實在令人不堪其擾所以這裡就把沙盒自動偵測關掉，但又感覺自己只是在逃避這個問題 OTL 另外工作列常會變成傳統、XP混雜的樣式 = = （如圖，http://tinyurl.com/77ekg4t）之後用avast做深層掃描也沒掃出什麼問題 ˊ ˋ 於是我就想說換Avira試看看，結果是有掃出來很多，不過掃到的仍然是那些被avast說建議以沙盒開啟的一大堆程式檔（如上面提及者）於是我再次使用Avira做系統掃描，哇結果掃出八百多個病毒　＝＝因為有一大堆都是信任的程式，所以我就一概選擇略過看高手的判讀再決定怎麼處理... 不過感覺幾乎都是誤判，因為一樣是那些exe檔所以這裡懷疑是否為exe檔被感染，或者單純是兩個軟體同時誤判呢？ 2. 系統資料：作業系統：Windows XP 防毒軟體：avast、Avira 3. 分析報告：（因為這裡沒有用過這些軟體的經驗，又有警語說風險自行承擔不太敢使用||| 　而像Trend的HiJackThis連結教學圖片又失效，即使是知名軟體也不敢貿然操作）不過附上Avira的掃毒報告！（http://tinyurl.com/7b53j2z）大部分判定為： TR/Crypt.XPACK.Gen TR/Crypt.U.Gen TR/Crypt.CFI.Gen TR/Patched.Gen TR/Dropper.Gen BDS/Hupigon.Gen ADWARE/Adware.Gen 現在此感謝各位強者的回答！感激不盡！ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 123.240.72.176

推

SDUM

07/09 22:50, , 1^F

07/09 22:50, 1^F

敢問S大該採取何種方式解決比較好呢？完全沒頭緒怎麼找到源頭... 而且備份時又怕把已感染的exe檔一起備份... ※ 編輯: quill4506 來自: 123.240.72.176 (07/09 23:21)

推

SDUM

07/10 00:00, , 2^F

07/10 00:00, 2^F

可以再請教S大一個問題嗎　@@？這裡剛剛下載了卡巴2012試用，但不知道修復感染檔要怎麼修復... 因為敝人完全沒有用卡巴修復過... 十分感謝S大的協助 QAQ ※ 編輯: quill4506 來自: 123.240.72.176 (07/10 21:20)

推

SDUM

07/10 21:22, , 3^F

07/10 21:22, 3^F

噢問題仍然沒有解決...而且好像一樣繼續蔓延... 剛剛我先更新完卡巴，然後它就開始自動掃瞄然後殺毒，之後就自動重新開機可是在自動重啟前，我有瞥到卡巴它竟然自己偵測到自己的exe檔有毒 OTL 重啟後就更悲劇了... 卡巴斯基完全沒有自動啟動，執行卡巴的程式也無法而且這個狀況也不是第一次發生了... 其實昨天第一次開電腦時，前天裝的小紅傘也是一開機就沒有自動啟動！！！！而且Realtime Protection還自己關閉，要再次開啟也發生Error 讓我整個很無力.... 之後裝卡巴後就想說先開安全模式掃看看比較好結果一樣重新開機後，卡巴又沒有自動啟動，即使執行也無法這裡是再次跑一次安裝程式，卡巴才又重新出現... 順帶一提，類型都是屬於「Virus.Win32.Suspic.gen」我也Google了一下，即使Trend Micro說它是低危險，但還是覺得它很嚴重... 因為幾乎所有的exe檔都要被它感染了（後來也發現有偵測出swf檔...）而且firefox一直被卡巴偵測到威脅PDM.DNS QUERY或PDM.Invader 就也擔心是否也會影響到區網的其他電腦看趨勢上面的特徵，卻也不符合目前電腦的狀況... 於是也無法照著它的解決方法執行（http://ppt.cc/NTWG，趨勢安全威脅百科全書）總而言之，這裡現在比較偏向把自己比較重要的檔案備份起來然後重灌，比較乾淨俐落又省事省時... 但還是想請問一下S大最後幾個問題：＊假設我複製到硬碟的檔案都是非exe檔的檔案（影片檔、音樂檔、圖片檔、文件…）　如此仍有可能複製到已感染的檔案嗎？＊將插過中毒電腦的硬碟、USB，再插到別台電腦去，別台電腦有可能會跟著染毒嗎？＊在複製的過程中，有什麼要特別注意的事項或是手續呢？　例如最好在安全模式中複製檔案？＊如果沒有防毒軟體開著，這樣會不會有極大的風險存在？（可憐的卡巴開不起來 QQ）不好意思一次提出了相當多而且愚笨的問題，煩請S大或其他強者能幫小弟解惑，感激不盡！ ※ 編輯: quill4506 來自: 123.240.72.176 (07/11 00:40)

→

y3k

07/11 00:26, , 4^F

07/11 00:26, 4^F

y大指的是先把卡巴試用載下來，在建立救援光碟嗎？請問y大救援光碟的功能跟普通卡巴有何不同呢？感謝y大！這裡想再補述一下之後的情況！今天打電話詢問當初賣電腦的賣家，他叫我先把C槽的資料先移到D，然後還原Ｃ槽雖然知道這樣根本不會清掉病毒（畢竟D槽還是一大堆感染的執行檔 XD|||）不過還是先試試賣家所說的，先還原再掃再殺現在家裡電腦還正在掃毒，才掃50%就有四百八十個感染的檔案了 OTL 甚至連一還原完時立馬裝的COMODO幾個exe也被感染 QAQ 順帶一提，還原前後都有發現Java\jre6\bin\javaw.exe "感覺"它是源頭，因為電腦異常最初被avast入沙的就是先從這個檔案！不過剛剛看了一下有掃到WINDOWS\system32裏的檔案 @@ 想請問如果真的讓avast砍掉會不會有誤刪的可能？還是提供檔案上來比較好？還有怎麼樣才能判斷刪掉某exe檔後，會不會造成某些重要程式的無法運行呢？如果是像那種可以重新安裝的瀏覽器啊還什麼的，這裡是二話不說一定刪可是有些是像NVIDIA的exe...怕刪了後會有重大影響@@ 又覺得跟#1FyRY5xm的狀況有共通點，就是工作列變成舊樣式系統又出現異狀這裡是一開機就跑出 Generic Host Process for Win32 Services發生問題，必須關閉，謹此致歉。補上還原後avast完整系統掃瞄和開機掃描後，hijackthis的報告檔 http://sun.cis.scu.edu.tw/~92a39/upload/41894.txt 不知道到底有沒有把毒殺乾淨 Q^Q 最後再複製一次上次詢問的問題：＊假設我複製到硬碟的檔案都是非exe檔的檔案（影片檔、音樂檔、圖片檔、文件…）　如此仍有可能複製到已感染的檔案嗎？＊將插過中毒電腦的硬碟、USB，再插到別台電腦去，別台電腦有可能會跟著染毒嗎？＊在複製的過程中，有什麼要特別注意的事項或是手續呢？　例如最好在安全模式中複製檔案？不好意思又拋出問題，煩請板上強者幫忙解答，謝謝！ ※ 編輯: quill4506 來自: 123.240.74.191 (07/12 23:08) ※ 編輯: quill4506 來自: 123.240.74.191 (07/12 23:14) ※ 編輯: quill4506 來自: 123.240.74.191 (07/13 00:24) ※ 編輯: quill4506 來自: 123.240.74.191 (07/13 00:31) ※ 編輯: quill4506 來自: 123.240.73.220 (07/13 03:47)

推

sixersai

07/13 09:22, , 5^F

07/13 09:22, 5^F

→

sixersai

07/13 09:22, , 6^F

07/13 09:22, 6^F

S大抱歉現在這裡的狀況是已經把掃到有毒的檔案"都砍掉" 可是不確定到底有沒有殺乾淨...在還沒殺乾淨前這裡不敢把資料移到硬碟裡... 不好意思敘述太冗長造成您的誤解 ˊ～ˋ ※ 編輯: quill4506 來自: 123.240.73.220 (07/13 12:00)

‣ 返回看板[ AntiVirus ] 防毒

‣ 更多 quill4506 的文章

文章代碼(AID): #1F-kT5wU (AntiVirus)