ie8 (第2頁) - Mobile01

HermesParis

HermesParis
個人積分：48783分
文章編號：16240736

48783分

樓主

2009-12-04 22:55

。如夢似幻。 wrote:
恰巧在友站也正在處理...(恕刪)

Combofix log 檔已經上傳OK，請收PM～

掃完之後好像成功了？！

因為開機後已經不再自動跳出IE
然後用Spyware Doctor掃過也已經找不到 "Trojan.Buzus"

在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 之下...
也沒有那個殺不死的 Taskman 出現了

尤其是這個怪怪的 nissan.exe 好像也被殺了
c:\recycler\S-1-5-21-28352................\nissan.exe

不過Spyware Doctor卻抓到一堆Combofix產生的檔案與註冊表值
那些需要保留嗎？
還是可以清掉？

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：16244328

8分

12樓

2009-12-05 3:03

有解決就好，從Log上看到有兩個沒用的殘檔，既然看到了就順便清一下吧，不清其實也無所謂。

●Pendmove http://star000star.myweb.hinet.net/2009/pendmove.zip
1.開啟「Pendmove」=>上方選擇「Add File to List」。
2.於第一項「Existing File:」空白處，將以下檔案路徑「複製」「貼上」=> 按下「Save」=>循環動作直到全部貼上為止；跳出Error代表檔案不存在，跳過即可。
c:\windows\z.VBS
c:\windows\i.BAT

再來關於Combofix生成檔被防護軟件偵測的問題，這種狀況是常態，清除惡意程式的工具一般都會將清除的東西做個備份，以防萬一；再者是清除工具本身都可以輕易的解決防毒軟件，所以部份防護軟件會有風險提示，也是正常的。

我是希望您能夠把下面這個目錄壓縮上傳，在PM將Samples提供給我，我在將此樣本轉交各大防軟公司，日後跟您有相同問題的苦主就不用在求助了，防毒軟件可以直接掃除；處理過後資料夾可以整個移除了，他是為了放置CF零件、備份檔案所生成的。
C:\QooBox

HermesParis

HermesParis
個人積分：48783分
文章編號：16245888

48783分

樓主

2009-12-05 9:55

。如夢似幻。 wrote:
有解決就好，從Log上看到有兩個沒用的殘檔，既然看到了就順便清一下吧，不清其實也無所謂。
●Pendmove http://star000star.myweb.hinet.net/2009/pendmove.zip
1.開啟「Pendmove」=>上方選擇「Add File to List」。
2.於第一項「Existing File:」空白處，將以下檔案路徑「複製」「貼上」=> 按下「Save」=>循環動作直到全部貼上為止；跳出Error代表檔案不存在，跳過即可。
c:\windows\z.VBS
c:\windows\i.BAT..(恕刪)

您好
我用了Pendmove清除這兩個似乎沒用
因為我去c:\windows\之下看這兩個檔案都在
所以我就直接按del把他們刪除了...
這樣可以嗎？

C:\QooBox 已經壓縮並上傳了
請收PM

再次謝謝如夢似幻大大的熱心幫忙
THANKS！

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：16248968

8分

14樓

2009-12-05 15:10

忘了說明Pendmove如字面上所說，採取的是「延遲刪除」也就是要重啟過後才會刪除檔案。
原本是怕您手動找麻煩才用工具，手動刪除也是可以，反正只是沒作用的殘存檔案。
您另台電腦若有相同問題可以採取這個方案去處理，跑過之後還有任何問題在討論吧。

Samples收到了，已提交部份防毒軟件公司。

HermesParis

HermesParis
個人積分：48783分
文章編號：16279102

48783分

樓主

2009-12-07 14:51

謝謝如夢似幻的幫忙
終於把這一台電腦清除了頑強的"Trojan.Buzus"

而另一台電腦在發病之初已經由備份回復
所以還來不及用上如夢似幻大大提供的方法來測試

至於為何這兩台電腦都會不約而同的在近日之內出現感染"Trojan.Buzus"
而導致IE8會被自動開啟並連結到不知名的網站
這個中毒原因目前還不明朗

隨身碟？
瀏覽惡意網站？
下載並執行到來路不明的惡意程式？.....

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：16288682

8分

16樓

2009-12-07 23:30

這部份我就不清楚了，惡意程式傳遞主要途徑也就是您上面說的那幾個，好像沒什麼完全防堵的簡單策略。
如果要增添系統安全性，又不嫌學習麻煩的話，您可以去摸索一下「HIPS」這類型軟件。

我這邊能看到的資訊就只有Log上呈現的，超過的部份我沒辦法正確的替您解答。
此外不建議您拿系統在來演示惡意程式，不論是樣本本身或者安全工具，兩者隨意操作下都可能造成系統損毀。

keyx2001

keyx2001
個人積分：0分
文章編號：16299322

0分

17樓

2009-12-08 14:57

最近同事用盜版也中頑強的"Trojan.Buzus"..

諾頓試用版有掃到..移除

問題是..有沒有清乾淨?!

最後,他自己重灌了

拯救世界維護和平

拯救世界維護和平
個人積分：464分
文章編號：16300763

464分

18樓

2009-12-08 16:12

keyx2001 wrote:
最近同事用盜版也中頑強的"Trojan.Buzus"..
諾頓試用版有掃到..移除
問題是..有沒有清乾淨?!
最後,他自己重灌了

這位kensans想不到你換了帳號，還是一樣強力在替諾頓打廣告
辛苦你了，怎麼上班時間你的IP都跟kensans一樣還真巧阿！
0１的傳統是有圖有真相

keyx2001

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
kensans

Devilfizeau

Devilfizeau
個人積分：0分
文章編號：16523675

0分

19樓

2009-12-20 13:19

最近被一開機就跳出的廣告頁面煩到
有時候是the news pedia
有時候是don't-tell-me
有時候是cult art
最邪惡的是他們網頁中間都會塞個google... 囧

查了以後才知道應該是跟nissan.exe這個病毒有關(?)
小紅傘、ad aware掃了都沒找到
spyware doctor有抓到但是要付費版本才能解決(昏)
現在裝了Malwarebyte's Anti Malware在掃(在國外網站看到可以解決的程式)
但是剛剛除掉以後重開機又跳出來了... Orz

想請問一下ComboFix執行以後可以直接解決它嗎？@@

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：16545682

8分

20樓

2009-12-21 18:56

Devilfizeau wrote:
最近被一開機就跳出的...(恕刪)

我不確定，畢竟安全工具不是這樣簡單使用的，重點在於產生的分析Log；我個人處理問題也多倚賴分析去做處理，不是拿軟件一款一款試。如果您有興趣就慢慢試吧，若需要協助試著處理，請另開新帖。