: 有些網頁打不開 : 出現 : : 1^LIBraBBGvB8i~o+Z~UU??L5{B~SLIB5C????? : BBS也嚴重累格 : : 請教各大大 : 要怎嚜解決 : 謝謝 : : -- :

※ 發信站: 批踢踢實業坊(ptt.cc) : ◆ From: 140.113.95.131 這是你們網路下有人的電腦中毒 (140.113.95.x) 用arp封包去欺騙router (default gateway) 讓router送給一般user的封包 通通送到中毒的電腦上 部分HTTP封包會被修改(才會在網頁上出現奇怪字串) 然後再送回給一般的user 因為全部流入的流量都送到中毒的電腦上 處理不及 所以會造成大lag 如果到router上看arp table會發現那個網路下幾乎每個IP都被對應到中毒電腦的卡號 (140.113.95.XX都對到同一個卡號 AA:BB:CC:DD:EE:FF) 要找到是哪一台電腦在搞鬼 用wireshark之類聽封包的軟體 會發現host透過gateway送出去的封包,ethernet的des會是router的卡號 但從gateway送回給host的封包,ethernet的src卻不是router的卡號 會是中毒那台的卡號 這樣就可以找到是哪個傢伙中毒了 中毒的那台電腦上 應該會在 Program Files\Common Files\Microsoft Shared\MSInfo 下 出現一個假的svchost.exe檔 那個就是病毒 而且去看他的arp table (命令提示字元下 arp -a) 會發現幾乎那個網路下每個host的ip -> mac的對應都被設定成static (通常是dynamic) 我目前發現這個病毒是透過隨身碟感染 應該是隨身碟病毒的變種？ 執行隨身碟裡面的Ghost.pif檔以後 在兩分鐘之內會跑出作亂的那個svchost.exe檔 然後開始搗蛋 造成網頁出現奇怪字串以及大lag -- 這大概是我目前觀察出來的結果 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 221.169.40.127