作者givelove (啊 你不懂啦!! )
看板AntiVirus
標題[中毒] 無法刪除Trojan.Win32.Agent.twl
時間Mon Jul 21 18:43:51 2008
1.問題描述:
請在下面說明碰到的中毒情形,越詳細越好(可貼圖說明):
因電腦最近關機後有時候都還會自動開機
使用a-squared Anti-Malware - 版本 3.5掃瞄後跑出Trojan.Win32.Agent.twl
木馬 在掃描後顯示直接刪除 但 再次掃描卻發現還是有這個木馬存在
檔案位置C:\WINDOWS\System32\svchost.exe 如果由我的電腦位置刪除
就會顯示某程式被關閉幾秒後電腦重新開機
但檔案還是刪除不了
2.掃毒報告:
請先使用掃毒軟體執行全機掃描後將掃毒結果傳到置底空間
如會掃描很久請最少掃描以下位置和防毒軟體顯示的中毒檔案位置:
C:\Windows\System32 C:\Windows C:\Program Files
請盡可能提供掃毒報告,如無法掃描請務必註明,也可使用線上掃毒掃描報告
線上掃毒使用方式請看
使用NOD32掃毒後顯示沒有病毒
3.系統輔助分析軟體掃描報告:
此處報告為需了解你系統內有何程式啟動和常駐所必須要的報告
請將掃描結果上傳至置底空間,置底空間無法使用者請改用http://www.kotuha.com
使用方式:
Combofix: http://reinfors.googlepages.com/Combofix.html
Hijackthis: http://reinfors.googlepages.com/Hijackthis
SRENG: http://reinfors.googlepages.com/SRENG.html
如無法使用網路請看 1 - 8 使用方式
4.報告連結:
請將掃描報告(log)貼於下方 (上面的全要)
Combofix : 下載Combofix 開始程式卻沒有反應
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/31415.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/31416.txt
掃毒報告 :
http://sun.cis.scu.edu.tw/~92a39/upload/31417.txt
麻煩各位達人幫幫小弟的忙
感激不盡..
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.131.74.171
1F:推 junorn:c:\windows\system32\svchost.exe是系統最重要的核心檔案 07/21 19:53
2F:→ junorn:之一,刪了就可以準備重灌了。 07/21 19:53
3F:→ givelove:看來 只有重灌了...感謝版主幫忙 07/21 20:36
4F:推 junorn:你要注意這個檔案是正常的,重灌還是會在喔 07/21 20:51
5F:推 twsakura:這隻木馬該怎麼防呢?很多防毒捉不到,又會附在核心檔案上 07/22 02:56
6F:推 junorn:簡單說...誤判啦。 07/22 09:13
7F:→ junorn:用誤判率高的防毒自己要多留意。 07/22 09:14
8F:→ junorn:如果有碰到一些核心檔案被修改的像userinit.exe或explorer 07/22 09:16
9F:→ junorn:這一類的,那就用cmd的ren指令去改檔名就可以了很快 07/22 09:16