iT邦幫忙

0

電腦一直寄信....

iamapo 2010-03-30 10:00:0016599 瀏覽

昨天發現某台電腦一直寄信,常理判斷是中毒了
用NOD32及Trend掃了半天清了一堆病毒(正常及安全模式都有掃),看起來似乎恢復正常.
結果今天一早發現流量異常,一查又是那台電腦在亂寄信
後來我用netstat -nao指令一查,是services.exe在做怪
再用防毒軟體掃一掃沒有發現病毒,但是services.exe這process又kill不掉!
請問還有什麼方式解決??(不要跟我說那101招format重灌)

tombo iT邦研究生 1 級 ‧ 2011-05-06 03:34:38 檢舉
重灌雖然是下下策,但是如果能最快讓系統正常運作,降低 Downtime,這樣才能減少公司的損失,至於該怎麼修補防範,當然不應該疏忽。

講重灌,應該有點誇張,正確的說,應該要講重新部署。
misadm iT邦高手 10 級 ‧ 2011-05-09 09:12:20 檢舉
重灌雖然是下下策,但是如果能最快讓系統正常運作,降低 Downtime...

+1
非常同意,因為 User 不會想知道這是什麼原因,他們只會在乎電腦要修多久,多久之後他可以正常使用電腦;而且你拖越久,User 越質疑你的能力。

並非不是我不想找出原因,而是我不得不選擇最快速的處理方式。假若公司有備用電腦,可以先換一台給 User,之後你再慢慢找問題。
14
tombo
iT邦研究生 1 級 ‧ 2010-05-05 15:40:15
最佳解答

您想想您為了這台電腦花了多少時間去殺毒?殺完之後,能確保一定完全無毒嗎?

為什麼不考慮重灌呢?重灌會需要花您多少時間?

sbee727 iT邦新手 2 級 ‧ 2010-05-06 11:32:16 檢舉

如果電腦內有很多資料,也是採取重灌嗎?雖然很多工程師很喜歡這樣做,但是這樣就能夠解決了嗎,我一直認為,凡事要大處著眼,小處著手,很多的事情都是出必有因,如果平常的習慣沒有注意,就算重灌後還是一值會中毒中木馬,反而去回頭想想,做過了哪些事,才會發生這樣的狀況,去避免跟小心,那自然電腦就會比較順..

iamapo iT邦新手 5 級 ‧ 2010-05-26 12:13:52 檢舉

我同意sbee727的說法,重灌是最下下策的方法.(甚至是IT邦應該要封殺的關鍵字^^)

shunyuan iT邦研究生 1 級 ‧ 2010-06-26 02:20:25 檢舉

iamapo提到:
我同意sbee727的說法,重灌是最下下策的方法.(甚至是IT邦應該要封殺的關鍵字^^)

+1

18
sbee727
iT邦新手 2 級 ‧ 2010-03-30 10:07:11

可以用用別套掃看看avast!!5.0是免費的
感覺如果你毒如果都掃完,試試看掃木馬,感覺上那台不只有病毒,一定有木馬,非到必要,不用重灌,但是抓問題要看功力,比較費功....

iamapo iT邦新手 5 級 ‧ 2010-03-30 10:31:57 檢舉

感謝回應,基本上我也是覺得有木馬,請問您推薦那一套免費的掃木馬軟體?

harryvic iT邦新手 3 級 ‧ 2010-03-31 09:29:45 檢舉

用Avast!開機掃瞄的功能試試看,通常有些在安全模式也掃不掉,用開機掃描可以解決蠻多問題的。

elf iT邦新手 2 級 ‧ 2011-05-07 10:04:34 檢舉

sbee727提到:
avast!!5.0是免費的

avast的免費條件是home use only
* avast! Free Antivirus is free only for personal and non-commercial use.
http://www.avast.com/free-antivirus-download
去抓跟網路有關的病毒,抓不出來的時候建議可以是是用軟體防火牆去偵測或阻擋
先擋下來後,就比較好去處理了。
你可以參考一下Comodo,不過有些觀念上要先懂比較好操作軟體防火牆。

16
tamad1
iT邦新手 4 級 ‧ 2010-03-30 10:17:43

你先確認一下寄出去的信是不是內容是不是一模一樣的,如果是的話,可以查一下他的寄件匣,裡面應該有信還躺在那邊

iamapo iT邦新手 5 級 ‧ 2010-03-30 10:33:14 檢舉

感謝回應,那信並沒有存在任何郵件軟體內喔.

18
sniperegg
iT邦新手 2 級 ‧ 2010-03-30 11:12:13

先把網路連線中斷,避免再繼續寄信。
接下來,進入安全模式,完整掃毒一次(系統還原必須關閉)
掃瞄完畢後,在重新開機,再進入安全模式,利用其他防毒軟體(如Efix or Trend掃毒快手再掃一次),完成後重新進入系統。
若還是有病毒信陸續寄出,查看系統程序中,有哪幾支程式是看起來很詭異的,針對該檔名去搜尋相關病毒定義。
有時這種木馬發信程式很會躲,要用上好幾套才能完全掃除。

16
wenchan
iT邦新手 5 級 ‧ 2010-03-30 16:12:35

應該是你沒清乾淨,才會清又生出來,掃毒步驟如下:
1.關閉系統還原,網路連線中斷
2.清理磁碟(在附屬應用程式裡)
3.刪除IE由的暫存檔和歷程記錄,COOKIE..等(在IE的網際網路選項-->一般)
4.搜尋一些TEMP資料夾,刪除那些暫存檔
5.進入安全模式
6.完整掃毒一次
另一個方式,若你的防毒軟體是有授權,可以打去問客服,請它們協助

16
tayjiz
iT邦新手 4 級 ‧ 2010-03-30 20:59:22

硬碟要拆去別台乾淨的電腦去掃毒才較有效..
可以的話就多用些防毒來檢查
既然知道是services.exe在做怪..
那就先把他砍掉或rename先不執行看看對系統有否影響..

harryvic iT邦新手 3 級 ‧ 2010-03-31 09:28:09 檢舉

但拆到乾淨的電腦就怕連那台乾淨的電腦也被感染了,這個方法有時候不太敢做,除非那台乾淨的電腦沒做其他用途...

20
lcl2683
iT邦新手 4 級 ‧ 2010-03-31 09:27:27

使用 WinPE 開機, 然後再從register去改.

takaki iT邦新手 4 級 ‧ 2010-04-04 02:18:52 檢舉

如果開版擁有跟您一樣的跳躍性思考模式加上對regedit與服務很瞭解的話,
您那簡單的一行的確可行...

hart1458 iT邦新手 3 級 ‧ 2010-05-14 18:11:58 檢舉

PE 開機叫出來的會不會是 PE 的 register 吶??

14
csyu
iT邦高手 1 級 ‧ 2010-03-31 09:39:53

如果病毒程式已在執行狀態,即使偵測或攔截到也未必能治的了它!所以在本機上進行掃毒,有一個要點就是要在OS啟動前,此時病毒程式尚未進入system service,才有辦法移除掃毒。因此,先正常開機後設定"開機掃毒",然後重開機啟動掃毒功能。

14
amigoccs
iT邦研究生 4 級 ‧ 2010-03-31 10:17:54

您可以參考 McAfee 網站的資訊,可能是下面的惡意程式:
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=217219#none

因為根據您的描述,該惡意程式不斷以信件方式寄出不知名資訊,建議您採取下列步驟:

  1. 在 Mail Server 蒐集該 IP 寄出的信件,瞭解寄出哪些資料
  2. 立刻切斷網路線之外,避免資訊繼續外露
  3. 通知主管有資料外洩,務必保留此信保護自己
  4. 清點該電腦的所有機密文件與使用者的個人資料
  5. 建議使用者更換該使用者所有網路行為密碼,務必保留您有通知使用者的證據
  6. 修改該電腦密碼,修改使用者權限,降低權限
  7. 如果是總經理或業務副總的電腦,有可能需要報告稽核上呈董事長
  8. 找配合 SI 開始全面清查系統與資料安全性
14
clytie
iT邦新手 5 級 ‧ 2010-03-31 13:31:59

您要不要試一試狼煙行為預警系統?
是零壹科技發行的,有提供免費試用,
裝起來後運作大概一天,
點選全面分析功能,
他就會給你解決方案。

參考網頁:http://www.ithospital.com.tw/main/main.php
下載網址:http://www.ithospital.com.tw/main/download\_self\_info.php

14
sula3065408
iT邦研究生 1 級 ‧ 2010-03-31 15:21:03

請參考這一頁:http://www.qqread.com/virus/x210244.html

開到安全模式下檢查你的系統,防毒軟體一套換過一套,該中的還是會中。

14
srv
iT邦研究生 1 級 ‧ 2010-03-31 17:20:33

我覺得 EFIX 還蠻好用的.
http://reinfors.blogspot.com/

18
virgil0711
iT邦新手 2 級 ‧ 2010-03-31 20:29:11

這種病毒的特性,會透過自己的SMTP Engine去傳送大量郵件感染其他電腦
建議您可以下載趨勢科技閃電殺毒手來清木馬
http://cleantool.activeupdate.trendmicro.com/activeupdate/cleantool/cleantool.zip

使用說明如下:

  1. 將其解壓縮後(解壓縮密碼:novirus),執行 Lightning.exe 開啟清除工具
  2. 第一次執行需要先更新病毒碼至最新版本,更新完後即可複製到其它電腦上直接執行
  3. 點選左側的即時防護,啟動智慧型掃描引擎 TDME,TDME 安裝完成後,等待五分鐘至十分鐘
  4. 點選左側功能表的 "閃電殺毒",點擊 "開始掃描" 進行掃描
  5. 掃描完成後,會列出問題檔案列表,確認掃描出來的檔案均非正常檔案後,點擊開始清除執行檔案刪除動作。
16
a2633813
iT邦新手 3 級 ‧ 2010-04-16 13:57:54

我用我的經驗配微軟的工具做一個詳細一點的回答(上次回答有點隨便我自己先砍了)
可以用先正常開機
1、使用Process Explorer 和Process Monitor去觀察程序
並使用Process Monitor的 Filter功能去,找出相關之程序及dll之使用關係(記得筆記一下)
2、重開機後進入安全模式使用msconfig並關閉相關服務或相關啟動程序
3、使用regedit修改登錄檔
4、重新開機
備註,不行就照程序重新來過(做的時候有像if else的loop)

我要發表回答

立即登入回答