求助 - 急!從未上網的電腦被Symantec Client Security判斷中了Infostealer. Gamania

[haluko]

先謝謝各位先進的指點
小弟在這週末花了一些時間從symantec的網站上得到一些相關知識
(http://www.symantec.com/security_res...854-99&tabid=2)
發現該木馬入侵後會在windows xp電腦中製造兩個檔
C:\windows\system32\kerne0223.exe
C:\windows\system32\kerne0223.dll
同時也在註冊碼
HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出
“KERNE0223”=” C:\windows\system32\kerne0223.exe”

由於小弟有按時用ghost備份的習慣，所以就把B筆電先回復到還沒發現病毒的狀態。回復後再進到上述資料夾來檢查是否有這兩個檔案，

結果是並未發現有該兩個檔案，同時也未在註冊碼中找到該機碼

請教各位先進上面的結果是否能證明小弟的B筆電並未中毒，而是防毒軟體誤判?
謝謝各位指點

待會要將C:\Program Files\WinRAR中的Default.SFX寄到有掃毒功能的信箱及http://www.virustotal.com/en/indexf.html試試看

[GaMNiA]

引用:

作者: haluko

發現該木馬入侵後會在windows xp電腦中製造兩個檔
C:\windows\system32\kerne0223.exe
C:\windows\system32\kerne0223.dll
同時也在註冊碼
HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出
“KERNE0223”=” C:\windows\system32\kerne0223.exe”

我可以確定你 "先前" 真的有中毒...
但是你已經 GHOST 回復了，所以病毒可能也被你蓋掉了，
建議你再做一次完整掃描，或許會比較安心...

[haluko]

引用:

作者: GaMNiA

我可以確定你 "先前" 真的有中毒...
但是你已經 GHOST 回復了，所以病毒可能也被你蓋掉了，
建議你再做一次完整掃描，或許會比較安心...

可是這就是很神奇的地方了
先前有中毒?
但小弟發現中毒前後及 GHOST 回復都沒上網
系統跟程式都是一樣的
越來越不懂了

[GaMNiA]

我說的 "先前" 是指你第一篇和第七篇的內容，而不是說 GHOST 回復後，別誤會了～

還有，有些病毒是屬於主動攻擊漏洞型的，
你可能剛灌完是無毒狀態，但是一上網後，什麼事情也沒做就中毒，
像早期的疾風病毒或是疾風病毒的變種。

最好把你的 XP 更新到 SP2 並且線上更新一下。

[haluko]

引用:

作者: GaMNiA

我說的 "先前" 是指你第一篇和第七篇的內容，而不是說 GHOST 回復後，別誤會了～

還有，有些病毒是屬於主動攻擊漏洞型的，
你可能剛灌完是無毒狀態，但是一上網後，什麼事情也沒做就中毒，
像早期的疾風病毒或是疾風病毒的變種。

最好把你的 XP 更新到 SP2 並且線上更新一下。

小第一開始沒說清楚
小弟的筆電是安裝到sp2的
至於Ghost回復前後的系統與程式等是完全相同
再加上從頭到尾都沒上網
所以才很納悶

[GaMNiA]

你會不會是做 GHOST 之前就中標了呢?.....

我個人覺得 Symantec/Norton 對於木馬還有有些病毒的變種，沒有反應(掃不到)~
所以沒掃到並不等於沒中毒喔...

建議你安裝 "小紅傘" 防毒軟體，做一下完整掃描...
"小紅傘" Avira AntiVir 英文免費版：
http://www.free-av.com/

[不知道]

引用:

作者: haluko

可是這就是很神奇的地方了
先前有中毒?
但小弟發現中毒前後及 GHOST 回復都沒上網
系統跟程式都是一樣的
越來越不懂了

有跟A筆電做網路共享傳輸嗎?
以小弟的公司為例,雖然大部分電腦沒上網,但因內部是屬於區域網路,再加上有幾台電腦可以上網
結果竟連不能上網的電腦也被植入惡意程式

<參考>

[haluko]

引用:

作者: 不知道

有跟A筆電做網路共享傳輸嗎?
以小弟的公司為例,雖然大部分電腦沒上網,但因內部是屬於區域網路,再加上有幾台電腦可以上網
結果竟連不能上網的電腦也被植入惡意程式

<參考>

沒有喔
B筆電視與世隔絕的,從沒連上網路過,只會使用A筆電燒出來且經過電腦掃毒過的cd

[不知道]

引用:

作者: haluko

沒有喔
B筆電視與世隔絕的,從沒連上網路過,只會使用A筆電燒出來且經過電腦掃毒過的cd

掃毒軟體都一樣嗎?
B電掃毒軟體有沒有更新過呢?

<問>

[haluko]

引用:

作者: 不知道

掃毒軟體都一樣嗎?
B電掃毒軟體有沒有更新過呢?

<問>

兩台的掃毒軟體都一樣
版本也相同
有有更新病毒碼

[GaMNiA]

引用:

作者: haluko

B筆電視與世隔絕的,從沒連上網路過,只會使用A筆電燒出來且經過電腦掃毒過的cd

總覺得B筆電是被A筆電感染的～

我打個比方好了...
假設A筆電有殘餘病毒，但是病毒碼稍微舊了一點，沒被Symantec掃到，
但此時你卻誤認為沒中毒，把資料燒成CD，複製到B筆電。
過幾天Symantec線上更新病毒碼後，已經可以掃到該病毒時，
B筆電事實上已經感染病毒了...

雖然B筆電沒上網，但卻是被有帶病毒的CD感染的。

「以上是假設狀況」

還是一句老話，建議您安裝 "小紅傘" 將 A筆電/B筆電/CD 做一次完整掃描。
祝你好運...

[不知道]

引用:

作者: GaMNiA

總覺得B筆電是被A筆電感染的～

我打個比方好了...
假設A筆電有殘餘病毒，但是病毒碼稍微舊了一點，沒被Symantec掃到，
但此時你卻誤認為沒中毒，把資料燒成CD，複製到B筆電。
過幾天Symantec線上更新病毒碼後，已經可以掃到該病毒時，
B筆電事實上已經感染病毒了...

雖然B筆電沒上網，但卻是被有帶病毒的CD感染的。

「以上是假設狀況」

還是一句老話，建議您安裝 "小紅傘" 將 A筆電/B筆電/CD 做一次完整掃描。
祝你好運...

我是覺得是不是B筆電的防毒軟體沒更新,造成誤判

<猜想>