作者KMSNY (MSN+KY)
看板AntiVirus
標題[求救] 開機跑出CMD
時間Thu Feb 23 02:17:53 2017
http://i.imgur.com/aEUqUb3.png
如圖 一開機就自動跑三個CMD視窗不曉得要傳什麼檔案
查了IP來源應該都是中國大陸
應該是中毒了吧
目前用MSE作完整掃描明天看結果
系統是Win server 2012 R2 所以沒辦法用Combofix (好像很多東西都不能用在伺服器上
爬文有看到一篇狀況類似的
#1IcSiN3B
但是沒看到如何解決
很少碰伺服器的新手 懇請賜教
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.252.129
※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1487787478.A.60E.html
1F:推 jh961202: 感覺是自動在抓病毒執行檔? 02/23 03:10
2F:→ jh961202: 如果可以的話,把那個exe丟上VirusTotal分析看看 02/23 03:10
3F:→ jh961202: 然後把批次檔的純文字內容貼上來 02/23 03:11
4F:→ KMSNY: 你是說ms.exe? 找不到那個路徑 也沒有執行檔阿 02/23 09:41
5F:→ skychy: password required for 小肥 ?? XD 02/23 10:29
6F:推 DINJIAPC: 換裝江民防毒/非速智版,更新後掃毒,然後進工具箱把log 02/23 12:45
7F:→ DINJIAPC: 產生出來 02/23 12:45
8F:噓 ChakraLinux: 樓上很棒…所謂以毒攻毒是吧? 02/23 16:19
9F:→ dennisxkimo: dir /a- 該目錄 看看 02/23 16:28
10F:→ dennisxkimo: 有些檔案 檔案總管看不到 02/23 16:29
11F:→ dennisxkimo: 先去跟開機啟動有關的地方 刪掉啟動這些批次的部分 02/23 16:30
12F:→ KMSNY: 感謝大家的建議 我切到安全模式用Autoruns把啟動cmd清掉 02/23 17:11
13F:→ KMSNY: 不然一般模式清了又會跑出來 目前狀況應該正常 02/23 17:11
14F:→ KMSNY: 我是昨天MSE有掃出東西先清掉 再去安全模式砍登錄檔 02/23 17:13
15F:推 DINJIAPC: 你知道可以在伺服器安裝的防毒沒幾套嗎 02/23 20:08
16F:→ KMSNY: 免費的真的沒幾套... 02/23 22:08
17F:推 dennisxkimo: 付費的企業伺服器版為主 02/23 22:27
18F:→ tsai82118: 睏,360殺毒可以裝在2008上面 02/23 22:45
19F:推 IQIQ200: Server被塞後門了... 02/24 12:22
20F:推 twnndnpdnc: 輔大有三套server版的防毒,卡巴,芬安全,小紅傘 02/24 13:12
21F:推 newcomer: 把帳密換掉可能也有點幫助 02/25 22:54