• 2

請問有人有中gff6.exe的病毒嗎?!

請問有人有中gff6.exe的病毒嗎?!(是病毒還是木馬?!感覺比較像是病毒)
家中防毒軟體:小紅傘9.0中文版,而且有用過efix掃過,但沒用....
症狀:網路會一直斷線,且無法再上線(除非重開機)

ps:對岸好像很多人中,但台灣好像沒有很大的災情.....只有微x論壇有人討論

不知有沒有達人解決過的?!謝謝

回樓下大大,我已上傳囉,希望有達人可以幫忙
http://www.sendspace.com/file/la03ac

6/8 PM11:45新增
1.yt57.exe也有被感染…
2.進安全模式後用efix掃,然後重開機後將小紅傘的防火強打開,到現在還沒有出現感染的訊息
,不過有沒有根除還不確定,且現在感染途徑也不知

2010-06-08 8:52 發佈
文章關鍵字 病毒 gff6.exe
就把EFix的Log上傳上來看看囉,照理說惡意程式啟動行為都在那份LOG裡頭了,主要是會不會分析而已。
上傳教學:http://star000star.myweb.hinet.net/2009/sendspace.htm
最近客戶的電腦中這幾個病毒 超毒的 gff6.exe yt57.exe *.scr 等等之類

重灌無效 還原無效 需重新分割磁區 然後再安裝

後來證實 一樣無效

與防毒公司討論的結果 如下

請 做低階格式化 (可能是第零軌的病毒) (資料部份 可能要做大量的篩選 這是說都不要留的意思嘛)

與朋友的討論 如下

請在買一顆硬碟 (Orz)

等待被客戶噱 ........

目前知道情報 ...W7 目前好像沒有災情 WIN XP 一片悽慘.... 或許可考慮換 W7 看看

(案例目前不多 沒有正確的答案)

最省的方式 可以往低階格式化進行

這樣換用CF跑一次吧,不過我得先說明,請不要在安全模式中使用掃描工具,一來清除功能受限、二來掃描的東西也會比較少。

一、下載安全工具●Combofix http://reinfors.googlepages.com/combofix1.html

二、完整複製以下文字,貼上去記事本選擇「另存新檔」、編碼確認為「ANSI」、檔案名稱為「CFScript.txt」。
確認內容無誤,並且存檔後將CFScript.txt拖曳進去Combofix,如圖所示。


===============清除腳本,請完整複製貼上,確認無漏字=====================
killall::

Registry::
[-HKEY_LOCAL_MACHINE\~\Explorer\Browser Helper Objects\{593207f1-0ee1-497e-a66d-7556674e0ebd}]

Driver::
caldtijr
fojisz
hpxtsmu
iykpqmsvg
jharkqf
MSImanage
netmanlr
NrConnmags
pamldnk
qgcnloq
qhfdw
rvlzablhg
shtopfz
vvkcyyf
xnlpcah
===============清除腳本,請完整複製貼上,確認無漏字=====================

三、自動重開之後將本次產生的CF LOG上傳上來;CF過程應該要一段時間,請依程式指示操作。
最強擋廣告外掛 AdGuard http://bit.ly/2uq2ZaU
幾天前在家裡重灌老母用的電腦
安裝了免費的小紅傘跟COMODO防火牆
過沒多久就說偵測到gff6.exe
砍掉就又會跑出來
後來好像是我調高了COMODO的防禦機制吧? 我有點忘了
gff6就沒再跑出來了

後來還是怕怕的
就把免費小紅傘換成諾頓網路安全大師了
買新硬碟????哪那麼多錢,而且治標不治本

不用掃了,沒用的,我更新以下的檔案完就沒事了,以下建議:

WindowsXP-KB941569-x86-CHT.exe
WindowsXP-KB957097-x86-CHT.exe
WindowsXP-KB958644-x86-CHT.exe
WindowsXP-KB958687-x86-CHT.exe

引用:http://reinfors.blogspot.com/2010/06/gff6exe.html
speed8 wrote:
買新硬碟????哪那...(恕刪)


請問由您所提供之鏈結
http://reinfors.blogspot.com/2010/06/gff6exe.html

內所提及之 MS08-67 僅僅提及 KB958644

那另外三隻 hotfix 使用的原因及來源是@@?
這個九成九是微軟透過電信業者鎖定對使用非正版xp之固定漏洞攻擊. 為啥會這樣肯定的說.因為遇到一次是台灣固網.一次是南桃園寬頻. 只要沒做過sp3完整更新(應該就是 kb941569 kb957097 kb958644 kb958687主要這四個檔 等下剛好有機會可以去測試一下 若真是如此會有後續報告). 後來客人xp系統沒換 要求電信業者改線路位置後就完全正常.>< 這應該是微軟有挑電信業者底下幾個倒霉的固定線路位置進行鎖定攻擊.只要一上網 gff6.exe就出現 再過來就是svhost.exe錯誤.不然為何在不同兩家電信業者的客戶都有出現這情況.

jkio wrote:
這個九成九是微軟透過...(恕刪)


大大說的也挺有道理的

但我覺得有可能是ISP業者自己的設備中毒(或是設備同網段裡有其他電腦中毒)

造成攻擊提供網路的服務時順便病毒也散播出去了

這個可能需要反應給業者知道比較好喔
  • 2
內文搜尋
X
評分
評分
複製連結
Mobile01提醒您
您目前瀏覽的是行動版網頁
是否切換到電腦版網頁呢?