史萊姆論壇 - 查看單個文章 - 急!從未上網的電腦被Symantec Client Security判斷中了Infostealer. Gamania

haluko · 2007-01-15, 01:50 PM

先謝謝各位先進的指點
小弟在這週末花了一些時間從symantec的網站上得到一些相關知識
(http://www.symantec.com/security_res...854-99&tabid=2)
發現該木馬入侵後會在windows xp電腦中製造兩個檔
C:\windows\system32\kerne0223.exe
C:\windows\system32\kerne0223.dll
同時也在註冊碼
HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出
“KERNE0223”=” C:\windows\system32\kerne0223.exe”

由於小弟有按時用ghost備份的習慣，所以就把B筆電先回復到還沒發現病毒的狀態。回復後再進到上述資料夾來檢查是否有這兩個檔案，

結果是並未發現有該兩個檔案，同時也未在註冊碼中找到該機碼

請教各位先進上面的結果是否能證明小弟的B筆電並未中毒，而是防毒軟體誤判?
謝謝各位指點

待會要將C:\Program Files\WinRAR中的Default.SFX寄到有掃毒功能的信箱及http://www.virustotal.com/en/indexf.html試試看

2007-01-15, 01:50 PM	#7 (permalink)
haluko 長老會員榮譽勳章勳章總數6 UID - 3733 在線等級: 註冊日期: 2002-12-07 住址: Sunshine Florida 文章: 516 精華: 0 現金: 164 金幣資產: 5526996 金幣	先謝謝各位先進的指點小弟在這週末花了一些時間從symantec的網站上得到一些相關知識 (http://www.symantec.com/security_res...854-99&tabid=2) 發現該木馬入侵後會在windows xp電腦中製造兩個檔 C:\windows\system32\kerne0223.exe C:\windows\system32\kerne0223.dll 同時也在註冊碼 HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出 “KERNE0223”=” C:\windows\system32\kerne0223.exe” 由於小弟有按時用ghost備份的習慣，所以就把B筆電先回復到還沒發現病毒的狀態。回復後再進到上述資料夾來檢查是否有這兩個檔案，結果是並未發現有該兩個檔案，同時也未在註冊碼中找到該機碼請教各位先進上面的結果是否能證明小弟的B筆電並未中毒，而是防毒軟體誤判? 謝謝各位指點待會要將C:\Program Files\WinRAR中的Default.SFX寄到有掃毒功能的信箱及http://www.virustotal.com/en/indexf.html試試看

	送花文章: 1269, 收花文章: 237 篇, 收花: 1426 次