還原到原始出廠狀態後掃描出現中毒
NB: IBM ThinkPad X32
2006年8月購入, 內附Norton AntiVirus 2005 90試用版 出場原始之病毒碼日期為2004年11月 主要用途; 資料製作,照片整理,上網(從未上不良網站) 原廠還原磁區等均未更動 除還原磁區之外只有一顆硬碟分割 小弟使用該nb已有一段時間 平日習慣還算良好 還原整個硬碟後第一件是事先掃毒 因為平均不到90天就會還原成原始出廠狀態 所以也就一直相安無事 但這前天還原成原始出廠狀態之後 還未上網更新病毒碼就先行掃描整顆硬碟 卻出現 "磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒" 的訊息 不論是直接從還原磁區還原至出廠狀態 還是將整顆硬碟format後(包含刪除還原磁區) 再用還原光碟重建還原磁區都一樣會出現中毒訊息:on_51: 但是若上網更新Antivirus 2005病毒碼再掃描, 或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描 卻又沒出現發現病毒的訊息 能否請各位賢達位小弟解惑 1. 為何會有這種情形發生 2. 小弟又要如何處置才能確保真的沒中毒 謝謝指點 |
引用:
能否先參考以下的網頁,把log裡面的內容張貼出來 http://forum.slime.com.tw/thread208952.html |
謝謝提醒
但不知是這程式能否查到開機磁區的情形? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 上午 08:25:20, on 2008/6/1 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\QCONSVC.EXE C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\tp4serv.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\IBM\Messages By IBM\ibmmessages.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\IBMTOOLS\UTILS\ibmprc.exe C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Digital Line Detect\DLG.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\abc\桌面\HiJackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll O9 - Extra 'Tools' menuitem: IBM Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: 自動 LiveUpdate 排程器 - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- End of file - 7456 bytes |
引用:
防毒軟體過期了就別用了OK~~~拿明朝的尚方寶劍斬不了清朝的皇帝,2005的防毒 軟體對付2008的病毒? 建議你還原光碟拿去收起來放,證明你的OS是合法的....... 然後把重要資料備份好之後將硬碟重新分割為兩個分割區,C用來安裝應用軟體+OS ,D存放你個人資料...... 然後安裝最新的防毒軟體,等你將作業環境弄好之後用GHOST做映像檔燒成CD,取代 你原先的還原光碟... |
為何會有這種情形發生?
1 BloodHoudn 是啟發式技術的一種, 有可能設定太敏感而誤報 2 若你是低階格式化你的硬碟, 那就很乾淨了, 除非作業系統光碟本身帶病毒 若只是 format 分割區或刪除分割區, 還不見得乾淨, 因為有的病毒會自行建立隱藏的分割區, 並感染其 MBR 磁區 隱藏分割區顧名思義, 一般軟體讀不到, 除非用專門軟體, 如DiskGenius 如何處置才能確保真的沒中毒? 現在的硬碟沒必要低階格式化了(低階格式化會降低硬碟壽命) 用 DiskGenius http://down1.tech.sina.com.cn/downlo...-16/6549.shtml 刪除所有分割區再重新分割, 再用你確定沒問題的作業系統光碟安裝 P.S 慎用 DiskGenius, 功能越強的軟體殺傷力越大 |
建議 可以的話最好都重新安裝新的OS
畢竟大大的你的還原出來的都太老了 微軟也都更新了很多東西 之後再來安裝較新版的防毒軟體的會比較好 當然也可以把它Ghost備份起來 |
引用:
說來慚愧 買來之後就都一直很忙:on_51: 所以到現在一直未能好好的重灌 所以現階段只能每隔一段時間還原一次 a471大大與leowang大大的指示小的會記在心中 那敢問各先進 小弟附上的分析資料中 有中毒的跡象嗎? 不知哪裡有DiskGenius的相關使用說明 謝謝各位 |
log 看起來沒問題
DiskGenius 裡面就有輔助說明檔, 簡體中文的 P.S DiskGenius 是unicode 簡體中文, 在繁體系統上執行時其介面文字會變成一堆問號 安裝Unicode 補完計畫 2.50後, unicode 簡體中文的軟體就能正常顯示 http://search.cpatch.org/download/pa...deaton_250.exe |
把OS需要的驅動、公用程式全部找齊就重新安裝系統吧,把驅動程式+OS剛裝好時、
建立完成結束重建時的系統做映像檔,這樣你靠一張DVD-ROM就可以讓你系統恢復 成"作業系統剛裝好與系統建置完成時"的兩種情況.....比你過時的還原光碟好用 |
謝謝各位指點
對其他大大很抱歉 小弟把最佳解答給了plunderer 但是小弟還是很好奇 HijackThis的log可以看出開機磁區有無中毒嗎?:on_47: |
不能....
MBR 感染屬於低階磁碟存取, 而HJ 只能掃出作業系統載入程式的情況 |
所有時間均為台北時間。現在的時間是 02:07 AM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *