作者KMSNY (MSN+KY)
看板AntiVirus
标题[求救] 开机跑出CMD
时间Thu Feb 23 02:17:53 2017
http://i.imgur.com/aEUqUb3.png
如图 一开机就自动跑三个CMD视窗不晓得要传什麽档案
查了IP来源应该都是中国大陆
应该是中毒了吧
目前用MSE作完整扫描明天看结果
系统是Win server 2012 R2 所以没办法用Combofix (好像很多东西都不能用在伺服器上
爬文有看到一篇状况类似的
#1IcSiN3B
但是没看到如何解决
很少碰伺服器的新手 恳请赐教
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 59.127.252.129
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1487787478.A.60E.html
1F:推 jh961202: 感觉是自动在抓病毒执行档? 02/23 03:10
2F:→ jh961202: 如果可以的话,把那个exe丢上VirusTotal分析看看 02/23 03:10
3F:→ jh961202: 然後把批次档的纯文字内容贴上来 02/23 03:11
4F:→ KMSNY: 你是说ms.exe? 找不到那个路径 也没有执行档阿 02/23 09:41
5F:→ skychy: password required for 小肥 ?? XD 02/23 10:29
6F:推 DINJIAPC: 换装江民防毒/非速智版,更新後扫毒,然後进工具箱把log 02/23 12:45
7F:→ DINJIAPC: 产生出来 02/23 12:45
8F:嘘 ChakraLinux: 楼上很棒…所谓以毒攻毒是吧? 02/23 16:19
9F:→ dennisxkimo: dir /a- 该目录 看看 02/23 16:28
10F:→ dennisxkimo: 有些档案 档案总管看不到 02/23 16:29
11F:→ dennisxkimo: 先去跟开机启动有关的地方 删掉启动这些批次的部分 02/23 16:30
12F:→ KMSNY: 感谢大家的建议 我切到安全模式用Autoruns把启动cmd清掉 02/23 17:11
13F:→ KMSNY: 不然一般模式清了又会跑出来 目前状况应该正常 02/23 17:11
14F:→ KMSNY: 我是昨天MSE有扫出东西先清掉 再去安全模式砍登录档 02/23 17:13
15F:推 DINJIAPC: 你知道可以在伺服器安装的防毒没几套吗 02/23 20:08
16F:→ KMSNY: 免费的真的没几套... 02/23 22:08
17F:推 dennisxkimo: 付费的企业伺服器版为主 02/23 22:27
18F:→ tsai82118: 困,360杀毒可以装在2008上面 02/23 22:45
19F:推 IQIQ200: Server被塞後门了... 02/24 12:22
20F:推 twnndnpdnc: 辅大有三套server版的防毒,卡巴,芬安全,小红伞 02/24 13:12
21F:推 newcomer: 把帐密换掉可能也有点帮助 02/25 22:54