[求救] 公司電腦防毒被幹掉了...
1. 敘述問題:工作管理員內有不明exe在執行,防毒軟體公司統一用Sophos直接被刪除
C:\WINDOWS\TEMP\裡面會有以win為開頭的亂碼檔名exe
即使刪除也會過沒多久又自動再生
在這裡請依序詳細說明你的電腦發生了什麼事情,如果有圖片、影片更好!
2. 系統資料:
使用的作業系統(如:Windows XP、Windows Vista)Windows Xp SP3
使用的防毒軟體Sophos Anti Virus
3. 分析報告:
Combofix報告:https://docs.google.com/document/d/1xmnveka8Jej5uRH1udImcr8DMe4uispu6Kao5wboBMQ/edit?usp=drive_web
縮址:http://ppt.cc/VQRQ
Hijackthis :https://docs.google.com/file/d/0B8K9YzFnivcjdFRCd2FVcXZrY28/edit?usp=drive_web
縮址:http://ppt.cc/oVYW
SRENG :https://docs.google.com/file/d/0B8K9YzFnivcjYm9sMzZvMjZXX2c/edit?pli=1
縮址:http://ppt.cc/mNmH
防毒軟體報告:被幹掉了,重裝也沒有任何偵測到的報告
http://ppt.cc/W-uY
工作管理員內亂碼程式
執行combofix雖然可以把所見到的亂碼程式刪除
但是下次開機或隔天又會有相同的症狀
於是必須再執行一次
另外如果防毒被幹掉了以後
電腦裡面原先放置的combofix跟防毒的安裝檔也無法使用
必須重新抓一份才能執行
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.162.173.98
※ 編輯: Ouiful 來自: 1.162.173.98 (04/06 12:18)
→
04/07 21:33, , 1F
04/07 21:33, 1F
→
04/07 21:58, , 2F
04/07 21:58, 2F
看的出來嗎@@? 是哪一項?
推
04/08 10:52, , 3F
04/08 10:52, 3F
→
04/08 10:52, , 4F
04/08 10:52, 4F
公司的電腦使用已久,裡面有前輩們留下來的資料
如果要備份會是非常非常大的工程 囧
推
04/08 13:30, , 5F
04/08 13:30, 5F
Monitor Time經由svchost導向「C:\WINDOWS\system32\cpvlmtbs.dll」
Image Task導向「C:\Program Files\Internet Explorer\cpvlmtbs.dll」
可是丟上網沒有任何資訊...,不敢動
※ 編輯: Ouiful 來自: 111.251.95.152 (04/10 04:28)
推
04/10 06:47, , 6F
04/10 06:47, 6F
推
04/10 11:18, , 7F
04/10 11:18, 7F
→
04/10 11:18, , 8F
04/10 11:18, 8F
推
04/10 18:37, , 9F
04/10 18:37, 9F
abp470n5沒有什麼相關訊息...
TEMP底下的執行檔是亂數產生,每次刪除後再生的檔名都不一樣
推
04/10 18:49, , 10F
04/10 18:49, 10F
查不到相關@@ 都說這只是個driver
※ 編輯: Ouiful 來自: 111.251.95.129 (04/11 01:50)
推
04/12 10:02, , 11F
04/12 10:02, 11F
→
04/12 10:05, , 12F
04/12 10:05, 12F