作者leeilu (您好)
看板AntiVirus
标题[中毒] bb.exe会一直产生,删也删不掉
时间Fri May 30 13:26:50 2008
Po文请使用下列格式并将有要求的档案附上,资料详细才有办法帮您处理:
1.问题描述:
请在下面说明碰到的中毒情形,越详细越好(可贴图说明):
已用防毒软体是赛门铁克的,扫描的时候有扫到病毒但是名称是z1.exe z2.exe
一直延续下去,自己看是藏在temp档案下,这也是删掉过不久又出现了,
病毒不确定再哪里,但是他会影响系统的日期时间,都会改为2000年,其他方面
有听到其他同事说会自动关机以及不能上网的情况,因为办公室有一半都感染了
似乎是利用网路传播的,现在搜寻google也都没有相关的解决方式,似乎有相关的
也都是找不到病毒的源头。防毒软体判断是病毒的都砍过,但是重开机後还是会出现
实在没办法了,看来是bb.exe变种吧!po上来给各位看看罗!
2.扫毒报告:
请先使用扫毒软体执行全机扫描後将扫毒结果传到置底空间
如会扫描很久请最少扫描以下位置:
C:\Windows\System32 C:\Windows C:\Program Files
请务必补上扫毒报告,如无法扫描请务必注明,也可使用线上扫毒扫描报告
线上扫毒使用方式请看
赛门铁克我找不到那里可以取log档,所以另外用线上扫毒网占去扫(卡巴)
贴在下方了
3.系统辅助分析软体扫描报告(请依照COMBOFIX→Hijackthis→SRENG排序执行):
请将扫描结果上传至置底空间,置底空间无法使用者请改用http://www.kotuha.com
使用方式:
Combofix: http://reinfors.googlepages.com/Combofix
Hijackthis: http://reinfors.googlepages.com/Hijackthis
SRENG: http://reinfors.googlepages.com/SRENG
如无法使用网路请看 1 - 8 使用方式
4.报告连结:
请将扫描报告(log)贴於下方 (上面的全要)
Combofix :
http://sun.cis.scu.edu.tw/~92a39/upload/30012.txt
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/30011.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/30014.txt
扫毒报告 :
http://sun.cis.scu.edu.tw/~92a39/upload/30018.txt
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 211.72.106.26
※ 编辑: leeilu 来自: 211.72.106.26 (05/30 13:29)
※ 编辑: leeilu 来自: 211.72.106.26 (05/30 13:31)
1F:推 junorn:又是explorer.exe被替换的... 05/30 13:38
2F:推 junorn:看有没有办法将c:\windows\explorer.exe压缩起来传到免空 05/30 13:44
3F:→ junorn:贴连结上来,然後到正常的电脑找explorer.exe将他覆盖掉 05/30 13:45
4F:→ lcjjaff:J老板阿~他的这个数位签章有过,md5不同,大小一样XD 05/30 16:34
5F:→ lcjjaff:这个也是被置换过的喔@@? //不过这篇真严重XD 05/30 16:35
6F:推 junorn:他数位签章不太对...有过但没公司资讯。 05/30 16:36
7F:推 nezumi24:请问正常的MD5值? 05/30 16:41
8F:推 junorn:那要看windows语系版本,都不一样 05/30 16:43
9F:推 alex817:今天我才在公司自已处理完呢,跟我中一样的毒,bb.exe会一直 05/30 18:58
10F:→ alex817:跑出来,後来也来个aa.exe 囧rz 05/30 18:58
11F:→ alex817:後来我用XPE光碟,把explorer和windows/system32/winlog32 05/30 19:00
12F:→ alex817:.exe盖过去在用hijackthis修一下就好了 05/30 19:00
13F:→ alex817:搞了我一整天....一直生出来爬文也没人中过= = 05/30 19:01
14F:→ alex817:你的hijackthis的F2也要修哦,他的explorer.exe也会呼叫 05/30 19:02
15F:→ alex817:gprXXX.exe ,XXX是数字,一直叫,这病毒真的很强 05/30 19:02
16F:→ alex817:主要是登入时你的explorer里面就有他的病毒,所以你杀了又 05/30 19:04
17F:→ alex817:生,生了又杀,跑Z1.exe~Z30.exe,按了我好几百次的防护了 05/30 19:04
18F:→ alex817:光防毒的防护都快按死了,好显这病毒不会去破坏其他档案 05/30 19:06
19F:→ leeilu:就如alex大说的,那是要去safe mode去盖explorer.exe了 05/30 20:47
20F:推 alex817:safe mode 无法盖掉,因为你进去win就是会载入explorer 05/30 22:28
21F:→ alex817:要用开机片开机後覆盖 05/30 22:29
22F:→ alex817:上面有打错是winlogon.exe,win的登入程式 05/30 22:30
23F:推 goodsnk:我也中这只毒..好烦.. 06/10 15:27
※ ychsiao:转录至看板 STU 06/10 22:32