|
急!從未上網的電腦被Symantec Client Security判斷中了Infostealer. Gamania
狀況:
小弟有兩台筆電,兩台都安裝了Symantec Client Security 3.0及WINRAR 3.5 (兩者都是從史萊姆上得到的)。一台(A)是用工作上(包含上網等工作上的使用),另一台(B)則是用在自己的影片剪輯及照片的使用上(沒裝任何的遊戲,從未進行上網的設定,更別說是上網)。 小弟習慣用A筆電將Symantec的病毒碼及相關檔案燒成光碟後用A筆電及公司的電腦掃描確認該光碟沒病毒後才會將光碟用在B筆電上。 過程 但昨日經過前述作業之後,在B筆電進行病毒掃描時,卻發現在 C:\Program Files\WinRAR中的Default.SFX檔發現Infostealer. Gamania 之後小弟再次掃描A筆電後也發現該木馬。可是WINRAR是從從史萊姆上得到的,先前也沒聽過有其他人中這木馬或是相關災情,加上目前Symantec Client Security的掃毒能力似乎不如從前,所以想請教各位先進: 1.由於小弟的Symantec Client Security中Antivirus版本是10.0.0.359,目前官網的版本已經到了10.2,可是網路上都蒐尋不到供10.0.0.359中文版升級的版本,不知各位先進能否指點小弟 2.不知道有沒有可能是Symantec Client Security中Antivirus誤判Default.SFX為病毒,因為近來Symantec Client Security誤判的消息似乎很多,加上小弟將該木馬從隔離所中還原後,確認過註冊機碼及檔案中並沒有Infostealer. Gamania所製造的相關檔案,讓小弟無法確認是否為誤判 3.C:\Program Files\WinRAR中的Default.SFX 不知道實際上有什麼功能 先謝謝大家能幫助小弟 謝謝:56gtyhu: |
|
引用:
|
最為比較簡單的方法
你可以丟到,有掃毒功能的信箱去試試看就知道了 如hotmail之類的。 這類型的信箱都己有防毒功能,有毒的話。他就會顯示了 或是可以運用線上掃毒的方式 如熊貓線上掃毒之類的 |
引用:
ftp://ftp.symantec.com/public/traditional_chinese/products/symantec_antivirus/symantec_antivirus_corp/10.0/updates/ 2. 也有可能是誤判,不過建議你將 Default.SFX 送到下面網站讓他掃描一下: http://www.virustotal.com/en/indexf.html 3. Default.SFX 是 WinRAR 製作自解壓縮檔的模組。 |
1.我有一台電腦是用Symantec Client Security10.1.0.394
感覺很好沒有什麼問題,常見到此類軟體常常會警示出具有連線能力的軟體 例如需要檢查序號,或是會自動更新,的小軟體 2.某些情況,問題的來源可能不一定是目前看到的檔案 Infostealer.GamaniaRisk Level 1: Very Low Discovered: June 16, 2006 Updated: June 19, 2006 10:19:00 AM ZE9 Type: Trojan Horse Infection Length: 77312 bytes Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP Infostealer.Gamania is a Trojan horse that attempts to steal sensitive information related to the Gamania Online game 最近比較常見到此類型要偷online game密碼的,比較常見的是發生在連點精靈的軟體 或是發生在某些有問題的網站,會盜Gamania橘子遊戲的木馬病毒,種類很多種,一般若是有玩不提供遊戲歷程的,就要小心一點,例如風之谷,而天堂有提供,所以雖然是同一家公司,但發生問題時,所遇到的情況和最後結果會有很大的差異 infostealer.Lineage比較多人中,還有很多種,像類似Infostealer.Wowcraft 可以說是防不勝防 3.任何網站任何網友提供的軟體,大部份情況,就算有問題,可能當事人也不知道 養成良好的習慣,例如先掃毒,或先給內行人去下,定期做相關的update,email內不要亂點 危險網站少上,可以減少比較多風險,不過我個人還是認為,除非不上網,除非只使用沒問題的軟體,不要再加東西,不難在未來都還是多多少少會發生 4.我很討厭類似這種的木馬和廣告類型的問題,我感覺這種比傳統的virus還要難處理,有時候還可能會發生沒有完全清除,我自己比較常是,去逛大陸的網站遇到 5.winrar之前有發生一點問題,若是用舊板的,可以更新一下 參考: http://hammer.prohosting.com/~surfergo/index4.html http://tw.knowledge.yahoo.com/questi...=1106111502626 http://tw.knowledge.yahoo.com/questi...=1206102905387 http://www.pcc-club.com.tw/ArticleDe...011&BoardID=12 有些人是收mail後才發生,不一定是原先供檔人的問題 http://forum.icst.org.tw/phpBB2/viewtopic.php?t=11046 winrar 功能說明 http://www.plays.com.tw/vbulletin/ar...p/t-21183.html |
先謝謝各位先進的指點
小弟在這週末花了一些時間從symantec的網站上得到一些相關知識 (http://www.symantec.com/security_res...854-99&tabid=2) 發現該木馬入侵後會在windows xp電腦中製造兩個檔 C:\windows\system32\kerne0223.exe C:\windows\system32\kerne0223.dll 同時也在註冊碼 HKEY_CURRNT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN中產出 “KERNE0223”=” C:\windows\system32\kerne0223.exe” 由於小弟有按時用ghost備份的習慣,所以就把B筆電先回復到還沒發現病毒的狀態。回復後再進到上述資料夾來檢查是否有這兩個檔案, 結果是並未發現有該兩個檔案,同時也未在註冊碼中找到該機碼 請教各位先進上面的結果是否能證明小弟的B筆電並未中毒,而是防毒軟體誤判? 謝謝各位指點 待會要將C:\Program Files\WinRAR中的Default.SFX寄到有掃毒功能的信箱及http://www.virustotal.com/en/indexf.html試試看 |
引用:
但是你已經 GHOST 回復了,所以病毒可能也被你蓋掉了, 建議你再做一次完整掃描,或許會比較安心... |
引用:
可是這就是很神奇的地方了 先前有中毒? 但小弟發現中毒前後及 GHOST 回復都沒上網 系統跟程式都是一樣的:56gtyhu: 越來越不懂了 |
我說的 "先前" 是指你第一篇和第七篇的內容,而不是說 GHOST 回復後,別誤會了~
還有,有些病毒是屬於主動攻擊漏洞型的, 你可能剛灌完是無毒狀態,但是一上網後,什麼事情也沒做就中毒, 像早期的疾風病毒或是疾風病毒的變種。 最好把你的 XP 更新到 SP2 並且線上更新一下。 |
引用:
小弟的筆電是安裝到sp2的 至於Ghost回復前後的系統與程式等是完全相同 再加上從頭到尾都沒上網 所以才很納悶 |
你會不會是做 GHOST 之前就中標了呢?.....
我個人覺得 Symantec/Norton 對於木馬還有有些病毒的變種,沒有反應(掃不到)~ 所以沒掃到並不等於沒中毒喔... 建議你安裝 "小紅傘" 防毒軟體,做一下完整掃描... "小紅傘" Avira AntiVir 英文免費版: http://www.free-av.com/ |
引用:
將有問題的Default.SFX寄到hotmail信箱與http://www.virustotal.com測試 下圖是hotmail  下圖是virustotal  二者都證明是無毒的 但symantec client security現在只要查到該檔都是呈現中毒,真的是很困擾 |
引用:
卡巴, NOD32, 小紅傘都沒掃到,看來 "可能" 是 Symantec Client Security 誤判了~ 你乾脆把 WinRAR 升級到 3.62 版好了,看看 Symantec Client Security 還會不會掃到病毒... |
引用:
以小弟的公司為例,雖然大部分電腦沒上網,但因內部是屬於區域網路,再加上有幾台電腦可以上網 結果竟連不能上網的電腦也被植入惡意程式 <參考> |
| 所有時間均為台北時間。現在的時間是 05:12 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *