史萊姆論壇 - 還原到原始出廠狀態後掃描出現中毒

史萊姆論壇 (http://forum.slime.com.tw/)

- 一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)

- - 還原到原始出廠狀態後掃描出現中毒 (http://forum.slime.com.tw/thread230598.html)

還原到原始出廠狀態後掃描出現中毒

NB: IBM ThinkPad X32
2006年8月購入,
內附Norton AntiVirus 2005 90試用版
出場原始之病毒碼日期為2004年11月
主要用途; 資料製作,照片整理,上網(從未上不良網站)
原廠還原磁區等均未更動
除還原磁區之外只有一顆硬碟分割

小弟使用該nb已有一段時間
平日習慣還算良好
還原整個硬碟後第一件是事先掃毒
因為平均不到90天就會還原成原始出廠狀態
所以也就一直相安無事

但這前天還原成原始出廠狀態之後
還未上網更新病毒碼就先行掃描整顆硬碟
卻出現
"磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒"
的訊息
不論是直接從還原磁區還原至出廠狀態
還是將整顆硬碟format後(包含刪除還原磁區)
再用還原光碟重建還原磁區都一樣會出現中毒訊息:on_51:

但是若上網更新Antivirus 2005病毒碼再掃描,
或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描
卻又沒出現發現病毒的訊息

能否請各位賢達位小弟解惑
1. 為何會有這種情形發生
2. 小弟又要如何處置才能確保真的沒中毒

謝謝指點

引用:

作者: haluko (文章 1956707)

=================================
能否先參考以下的網頁,把log裡面的內容張貼出來
http://forum.slime.com.tw/thread208952.html

謝謝提醒
但不知是這程式能否查到開機磁區的情形?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 上午 08:25:20, on 2008/6/1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\abc\桌面\HiJackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: IBM Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: 自動 LiveUpdate 排程器 - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 7456 bytes

引用:

作者: haluko (文章 1956707)

你使用電腦的方式真是令人匪夷所思.......電腦沒問題為何要還原?

防毒軟體過期了就別用了OK~~~拿明朝的尚方寶劍斬不了清朝的皇帝，2005的防毒
軟體對付2008的病毒?

建議你還原光碟拿去收起來放，證明你的OS是合法的.......

然後把重要資料備份好之後將硬碟重新分割為兩個分割區，C用來安裝應用軟體+OS
，D存放你個人資料......

然後安裝最新的防毒軟體，等你將作業環境弄好之後用GHOST做映像檔燒成CD，取代
你原先的還原光碟...

為何會有這種情形發生?
1
BloodHoudn 是啟發式技術的一種, 有可能設定太敏感而誤報

2
若你是低階格式化你的硬碟, 那就很乾淨了, 除非作業系統光碟本身帶病毒
若只是 format 分割區或刪除分割區, 還不見得乾淨, 因為有的病毒會自行建立隱藏的分割區, 並感染其 MBR 磁區
隱藏分割區顧名思義, 一般軟體讀不到, 除非用專門軟體, 如DiskGenius

如何處置才能確保真的沒中毒?
現在的硬碟沒必要低階格式化了(低階格式化會降低硬碟壽命)
用 DiskGenius
http://down1.tech.sina.com.cn/downlo...-16/6549.shtml
刪除所有分割區再重新分割, 再用你確定沒問題的作業系統光碟安裝

P.S
慎用 DiskGenius, 功能越強的軟體殺傷力越大

建議可以的話最好都重新安裝新的OS
畢竟大大的你的還原出來的都太老了微軟也都更新了很多東西
之後再來安裝較新版的防毒軟體的會比較好
當然也可以把它Ghost備份起來

引用:

作者: a471 (文章 1957643)

你使用電腦的方式真是令人匪夷所思.......電腦沒問題為何要還原?...

很抱歉這麼晚回覆
說來慚愧
買來之後就都一直很忙:on_51:
所以到現在一直未能好好的重灌
所以現階段只能每隔一段時間還原一次
a471大大與leowang大大的指示小的會記在心中

那敢問各先進
小弟附上的分析資料中
有中毒的跡象嗎?
不知哪裡有DiskGenius的相關使用說明

謝謝各位

log 看起來沒問題

DiskGenius 裡面就有輔助說明檔, 簡體中文的

P.S
DiskGenius 是unicode 簡體中文, 在繁體系統上執行時其介面文字會變成一堆問號
安裝Unicode 補完計畫 2.50後, unicode 簡體中文的軟體就能正常顯示
http://search.cpatch.org/download/pa...deaton_250.exe

把OS需要的驅動、公用程式全部找齊就重新安裝系統吧，把驅動程式+OS剛裝好時、

建立完成結束重建時的系統做映像檔，這樣你靠一張DVD-ROM就可以讓你系統恢復

成"作業系統剛裝好與系統建置完成時"的兩種情況.....比你過時的還原光碟好用

謝謝各位指點
對其他大大很抱歉
小弟把最佳解答給了plunderer

但是小弟還是很好奇
HijackThis的log可以看出開機磁區有無中毒嗎?:on_47:

不能....
MBR 感染屬於低階磁碟存取, 而HJ 只能掃出作業系統載入程式的情況