※ 引述《daimaylar (生蚝)》之铭言： : 1.问题描述： : 开了奇摩跟巴哈的网页都会出现防毒的网页广告。在巴哈会先出现一般的网页，然後 : 再连到用广告取代原本图片的网页。用卡巴斯基6.0扫毒一直扫到同一只毒(每开机一 : 次就要扫一次，而且都要重开机= =)，三不五时就出现exploer.exe错误，之後就一 : 直出现侦错程式直到死当。 : 2.扫毒报告： : 已删除: 木马程式 Trojan-Dropper.Win32.Agent.shb 档案: C:\System Volume : Information\_restore{3C229B0D-611A-4E15-98A6-5D3C410E19FE}\RP553\A0173923.sys : 已删除: 木马程式 Rootkit.Win32.Qandr.a 档案: C:\System Volume : Information\_restore{3C229B0D-611A-4E15-98A6-5D3C410E19FE}\RP554\A0173948.sys : 已删除: 木马程式 Rootkit.Win32.Qandr.a 档案: : C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\Eys70.sys.vir 爬文 FAQ : 其中第一只毒就是一直出现那只，会在不同地方扫到。 : 3.报告连结： : Combofix： http://sun.cis.scu.edu.tw/~92a39/upload/30254.txt : Hijackthis： http://sun.cis.scu.edu.tw/~92a39/upload/30255.txt : SRENG： http://sun.cis.scu.edu.tw/~92a39/upload/30256.txt : 麻烦大家了，感恩！ 复制~~内之文字(不能缺，不能断行喔！)， 贴到笔记本里，将档案名称存为 CFScript.txt 然後将这个档案拉到Combofix里（如下图所示） http://img.photobucket.com/albums/v666/sUBs/CFScript.gif 跑完後(如果要求重开机就重开吧) 重新开机看有无好转吧 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Driver:: krait03 fdE68 gaX00 Mec40 opI42 sjI84 wfS33 Winba61 Winew03 Winhs38 Winnf24 yrQ28 28575856 pfsvgae Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "18631341"=- "BM1b5020dd"=- File:: C:\WINDOWS\system32\axbexxtq.dll C:\WINDOWS\system32\tnjhfxlr.dll ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.63.194