作者joycewanga (宒宒)
看板AntiVirus
标题[中毒] 逛了一个常去的大陆论坛之後发生问题
时间Mon Sep 15 20:30:03 2008
1.问题描述:
在逛了一个常逛的大陆论坛之後
出现了Winxp.dll记忆体在使用中的错误讯息
於是我就赶紧用combofix扫电脑
扫完之後出现的log有把C:/Windows/Winxp.dll以及另一个广告cookie删除掉
但还是不放心,就用AVG-FREE 7.5再扫一次
有扫到另外四个木马 如图:
http://www.badongo.com/pic/4461879
图示看不清的话是这四个:
C:/Windows/zoej.exe
C:/Windows/ylgp.exe
C:/Windows/sryn.exe
C:/Windows/npzg.exe
用了AVG里的Wipe功能将这四个木马给删除了
後来重新开机,也没发现再生
只是不知道还有没有其他余孽
所以还是PO上LOG来请高手帮忙监定一下
如果已经没问题了话 也希望可以给EFIX 或是COMBOFIX做个参考
2.扫毒报告:
即上图
http://www.badongo.com/pic/4461879
AVG-FREE 7.5好像不能存成文字档
另外,我後来又扫了avg-anti spy
报告:
http://sun.cis.scu.edu.tw/~92a39/upload/32428.txt
3.系统辅助分析软体扫描报告:
此处报告为需了解你系统内有何程式启动和常驻所必须要的报告
4.报告连结:
请将扫描报告(log)贴於下方 (上面的全要)
Combofix :
http://sun.cis.scu.edu.tw/~92a39/upload/32429.txt
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/32430.txt
SRENG :
http://kotuha.com/file/eUHmi-SREngLOG.html
扫毒报告 :见上图
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 118.165.80.205
※ 编辑: joycewanga 来自: 118.165.80.205 (09/15 20:44)
※ 编辑: joycewanga 来自: 118.165.80.205 (09/15 20:46)
1F:→ joycewanga:另 AVG扫出的第五个应该不是木马 可能是AVG太敏感了 09/15 21:09
2F:→ joycewanga:但我还是顺手WIPE了 09/15 21:20
3F:推 idaer:怪怪的 : C:\WINDOWS\system32\down.sys 09/15 21:25
4F:→ joycewanga:请问是要删掉吗? 还是说要另外处理? 09/15 22:07
5F:推 idaer:把它更名down.sys.vir且移到别槽ex: c:\suspect 试试吧~~ 09/15 22:12
6F:→ joycewanga:啊 我刚刚已经删掉咧 我再重新开机看看这余孽有没有存 09/15 22:13
7F:→ idaer:btw 这档案只有236 bytes 也太小了吧 09/15 22:15
8F:→ idaer:删掉就算了 应该不是什麽重要的档 可能是病毒产生的downlist 09/15 22:15
9F:→ idaer:用意可能是中毒之後 读取down.sys从网路上抓其他病毒 当然 09/15 22:16
10F:→ idaer:这只是我的猜测 呵呵~~ 09/15 22:16
11F:→ joycewanga:我删掉了 目前没看到余孽 感谢您的帮忙 09/15 22:21
12F:→ joycewanga:请问这样是代表都OK了吗? 09/15 22:22
13F:推 idaer:目前log没看到什麽不对劲 应该是没问题了 有问题再上po罗~ 09/15 22:23
14F:→ joycewanga:谢谢 这样我就安心了 09/15 22:25
15F:推 idaer:以後上网用sandboxie上去吧~多了这层保护至少比较安全些~ 09/15 22:31
16F:→ joycewanga:SANDBOD跟LinkScaner的功能一样吗? 我目前两者都没有 09/15 22:35
17F:推 idaer:不一样 linkscaner是AVG帮你做检验 类似麦卡菲的siteadvisor 09/15 22:36
18F:→ idaer:功效没有很大 因为网站安全评监只是一时的 没有立即性的防护 09/15 22:37
19F:→ idaer:AVG商业版的WebShield就有立即的防护罗 不过搭配sandboxie 09/15 22:38
20F:→ idaer:会更好用 因为防毒软体也不是什麽毒都抓的到@@ 09/15 22:39
21F:→ joycewanga:喔喔 请问I大有推荐的sandboxie吗? 09/15 22:40
24F:→ joycewanga:我已经装好了 09/15 22:43
25F:→ idaer:序号的话 zha0的文章有喔 #15wzsbmW 09/15 22:45
26F:→ joycewanga:也注册完成了 可是好像不太会用 09/15 22:48
27F:推 idaer:教学 SDUM大的文章里有 #17EZH4fy :) 09/15 22:50
28F:→ idaer:我装了都没做什麽设定 我拿这来分析有问题的档案 ex:病毒 09/15 22:51
29F:→ joycewanga:喔喔 感谢 09/15 22:52