作者leeilu (您好)
看板AntiVirus
標題[中毒] bb.exe會一直產生,刪也刪不掉
時間Fri May 30 13:26:50 2008
Po文請使用下列格式並將有要求的檔案附上,資料詳細才有辦法幫您處理:
1.問題描述:
請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明):
已用防毒軟體是賽門鐵克的,掃描的時候有掃到病毒但是名稱是z1.exe z2.exe
一直延續下去,自己看是藏在temp檔案下,這也是刪掉過不久又出現了,
病毒不確定再哪裡,但是他會影響系統的日期時間,都會改為2000年,其他方面
有聽到其他同事說會自動關機以及不能上網的情況,因為辦公室有一半都感染了
似乎是利用網路傳播的,現在搜尋google也都沒有相關的解決方式,似乎有相關的
也都是找不到病毒的源頭。防毒軟體判斷是病毒的都砍過,但是重開機後還是會出現
實在沒辦法了,看來是bb.exe變種吧!po上來給各位看看囉!
2.掃毒報告:
請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間
如會掃描很久請最少掃描以下位置:
C:\Windows\System32 C:\Windows C:\Program Files
請務必補上掃毒報告,如無法掃描請務必註明,也可使用線上掃毒掃描報告
線上掃毒使用方式請看
賽門鐵克我找不到那裡可以取log檔,所以另外用線上掃毒網佔去掃(卡巴)
貼在下方了
3.系統輔助分析軟體掃描報告(請依照COMBOFIX→Hijackthis→SRENG排序執行):
請將掃描結果上傳至置底空間,置底空間無法使用者請改用http://www.kotuha.com
使用方式:
Combofix: http://reinfors.googlepages.com/Combofix
Hijackthis: http://reinfors.googlepages.com/Hijackthis
SRENG: http://reinfors.googlepages.com/SRENG
如無法使用網路請看 1 - 8 使用方式
4.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix :
http://sun.cis.scu.edu.tw/~92a39/upload/30012.txt
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/30011.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/30014.txt
掃毒報告 :
http://sun.cis.scu.edu.tw/~92a39/upload/30018.txt
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.72.106.26
※ 編輯: leeilu 來自: 211.72.106.26 (05/30 13:29)
※ 編輯: leeilu 來自: 211.72.106.26 (05/30 13:31)
1F:推 junorn:又是explorer.exe被替換的... 05/30 13:38
2F:推 junorn:看有沒有辦法將c:\windows\explorer.exe壓縮起來傳到免空 05/30 13:44
3F:→ junorn:貼連結上來,然後到正常的電腦找explorer.exe將他覆蓋掉 05/30 13:45
4F:→ lcjjaff:J老闆阿~他的這個數位簽章有過,md5不同,大小一樣XD 05/30 16:34
5F:→ lcjjaff:這個也是被置換過的喔@@? //不過這篇真嚴重XD 05/30 16:35
6F:推 junorn:他數位簽章不太對...有過但沒公司資訊。 05/30 16:36
7F:推 nezumi24:請問正常的MD5值? 05/30 16:41
8F:推 junorn:那要看windows語系版本,都不一樣 05/30 16:43
9F:推 alex817:今天我才在公司自已處理完呢,跟我中一樣的毒,bb.exe會一直 05/30 18:58
10F:→ alex817:跑出來,後來也來個aa.exe 囧rz 05/30 18:58
11F:→ alex817:後來我用XPE光碟,把explorer和windows/system32/winlog32 05/30 19:00
12F:→ alex817:.exe蓋過去在用hijackthis修一下就好了 05/30 19:00
13F:→ alex817:搞了我一整天....一直生出來爬文也沒人中過= = 05/30 19:01
14F:→ alex817:你的hijackthis的F2也要修哦,他的explorer.exe也會呼叫 05/30 19:02
15F:→ alex817:gprXXX.exe ,XXX是數字,一直叫,這病毒真的很強 05/30 19:02
16F:→ alex817:主要是登入時你的explorer裡面就有他的病毒,所以你殺了又 05/30 19:04
17F:→ alex817:生,生了又殺,跑Z1.exe~Z30.exe,按了我好幾百次的防護了 05/30 19:04
18F:→ alex817:光防毒的防護都快按死了,好顯這病毒不會去破壞其他檔案 05/30 19:06
19F:→ leeilu:就如alex大說的,那是要去safe mode去蓋explorer.exe了 05/30 20:47
20F:推 alex817:safe mode 無法蓋掉,因為你進去win就是會載入explorer 05/30 22:28
21F:→ alex817:要用開機片開機後覆蓋 05/30 22:29
22F:→ alex817:上面有打錯是winlogon.exe,win的登入程式 05/30 22:30
23F:推 goodsnk:我也中這隻毒..好煩.. 06/10 15:27
※ ychsiao:轉錄至看板 STU 06/10 22:32