※ [本文转录自 NtuDormM8 看板] 作者: Tynger (男八网管) 看板: NtuDormM8 标题: [网管]被锁ip但扫不到毒 时间: Mon May 15 16:01:22 2006 自从计中开始启用自动锁ip後，有许多人被锁了ip 但用扫毒程式扫的结果却跟他说没有病毒 以下我先列出几种我遇过有可能误判你的电脑为中毒的情况： ------------------------------------------------------------------------- [CERT_FTP]、[CERT_TELNET]、[CERT_SSH]： 以上三种都是判断你在某时间间隔内，对该服务port的连线数超过一定程度 所以似乎有case是由於你连线的站台一直连不上，但你的连线软体用极快的速度 一直帮你重新连线，导致你被计中的系统判定为中毒而被锁。 ------------------------------------------------------------------------- 其他： 你使用的P2P软体去占用到一些well-known port ------------------------------------------------------------------------- 如果上述情况都跟你的状况不符，最有可能的原因就是你的病毒定义码不够新 所以你的防毒软体没有办法帮你扫出该病毒来。 这边列出被锁後建议的处理方法： 1.下载最新的扫毒程式来进行清理，底下为趋势公司的System Cleaner，会帮你扫描 并结束记忆体中所有的恶意程式，将恶意程式从registry entries以及系统档里移除， 最後还会扫描并删除所有硬碟里的恶意程式(将第二个连结的病毒更新码的压缩档解开後 再将第一个连结的system cleaner放到该资料夹)。 http://www.trendmicro.com/ftp/products/tsc/sysclean.com http://www.trendmicro.com/download/zh-tw/pattern.asp 2.如果还是扫不出病毒来，你有可能被殖入了隐藏式的後门或木马程式。请先关闭所有你 目前正在使用的网路连线，再到命令提示字元底下，键入 "netstat -n"，它会列出你 的电脑目前所有对外的连线，如果有异常的连线存在，那可能就是它的问题了，这时可 以照着http://cert.ntu.edu.tw/security/detail.htm#d9来作进一步的检查。 关於移除後门程式，以下是计中的网安里的建议： =============================================================================== | | | 当使用者检视检查工具列出主机中正在执行的process时，马上会有人想问的问题是， | | 我又不是Windows的专家，我怎麽知道哪些process是正常的，哪些process是可疑的 | | 呢?建议大家可以将process名称输入到网页搜寻引擎(例如http://www.google.com)。 | | 如果搜寻结果是Windows系统的process就不用担心，如果找不到或者找到是恶意程式 | | 的话，请至该程式的所在档案夹中删除该执行档。有时候使用者会遇到程式正在执行 | | 无法删除的情况，可以启动「工作管理员」(按CTRL+ALT+DELETE键)，从「处理程序」 | | 中结束该处理程序。如果还是无法删除该执行档，就需要从安全模式开机，再将该执 | | 行档删除。 | =============================================================================== 希望大家在扫不出病毒时，能照着上述的情况来一一排除你因为同样原因再被锁的可能性 之後，再寄信请我帮你解开。再提醒一次，连续因同样原因被锁者会加锁一个礼拜。 如果你寄信来请我帮你解锁时没有特别提的话，我也会视为你已经照着以上步骤作过，而 不再特别提醒了。 最後一样，有任何问题欢迎与我联络。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.112.30.84 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 210.85.36.186