作者CingPTT (山姆)
看板AntiVirus
標題[求救] 突然跑出cmd.exe
時間Tue Dec 13 19:13:14 2016
如題,昨天電腦在進入桌面時突然跳出命令提示字元視窗(內容沒看到)
之後開啟工作管理員,發現cpu使用率在0~40%之間亂跳(待機時)以及出現cmd.exe進程,疑似中毒
有下載卡巴斯基,完整掃描並無掃到毒,也有使用combofix
分析報告網址:
http://pllab.cs.nthu.edu.tw/~scchi/upload/42297.txt
請版友幫忙分析,小弟會萬分感謝
-----
Sent from JPTT on my HTC One 801e.
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.232.249.87
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1481627596.A.E97.html
※ 編輯: CingPTT (36.232.249.87), 12/13/2016 19:18:06
1F:→ fatstan: 每次登入的時候都出現嗎? 報表部分沒發現問題12/13 19:39
2F:→ CingPTT: 昨天開始 開機6次大概3次 12/13 19:51
3F:推 junorn: c:\users\Sam\AppData\Local\Programs\HiPKILocalSignServ 12/13 20:40
4F:→ junorn: ver\runInvisible.bat 12/13 20:40
5F:→ CingPTT: 請問是自然人憑證導致的嗎? 12/13 21:04
6F:推 mathrew: 找到三樓說的 .bat 就notepad開 就大概知道內容了 12/13 21:18
7F:→ CingPTT: 小弟愚笨,就是這個檔案造成的意思嗎 12/13 22:33
8F:推 junorn: 不敢保證但可能,因為那地方通常不會有這東西啟動 12/13 23:18
9F:→ fatstan: 那個檔案是正常 你有裝跨平台網頁元件吧 12/14 07:04
10F:→ CingPTT: 有的,我試著把他關閉再上來回報 12/14 09:27
※ 編輯: CingPTT (210.60.104.7), 12/14/2016 09:55:42
11F:→ fatstan: 目前看起來可能是那個元件的問題 如果覺得太佔資源的話就 12/14 13:14
12F:→ fatstan: 先關閉 12/14 13:14
13F:→ CingPTT: 已改善,非常謝謝各位幫忙 12/14 19:59