locked
12.exe rsvpn.exe sa.txt 杀毒杀掉了过会又出现 RRS feed

  • 一般討論

  • 網上收集的資料

    資料1:

    C:\12.exe
    还有一个C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5下0IYC24YD CCS20GM6 UN6PH7TG YP155V5R几个文件夹里不定时的出现一个jpg格式的病毒文件

    資料2:

    一样的问题,办公室现在五六台电脑都有这个问题,重装系统无法解决,360能查杀,但很快再出来,郁闷啊,谁知道怎么解决

    資料3:

    2011-11-13 14:55:52 发现安全威胁 感染型病毒(Win32/Trojan.Downloader.063) 已删除此文件,如果您发现误删,可从隔离区恢复此文件。 c:\rsvpn.exe
    2011-11-13 14:55:34 发现安全威胁 感染型病毒(Win32/Trojan.Downloader.063) 已经禁止对此文件的访问,文件将无法被运行、移动。 c:\rsvpn.exe

    問題:

    根據網上收集的資料, 360殺毒, 毒霸, Norton, pccillin 2012, 這些防毒都一樣

    抓到病毒後 會再出現, 網內電腦會被繼續攻擊 , server 2003會備攻掛

    總不能一次把50台電腦一次重灌

    想請教比較好的解決程序


    Wang.S.W.

    • 已變更類型 Iwillbeback 2012年3月23日 上午 09:07 已解決
    2012年3月16日 上午 06:53

所有回覆

  • 將完整的病毒資訊丟出來給大家看一下,這樣子才會有辦法進行查詢與測試,另外也可以將病毒壓縮加上密碼後上傳到網路空間

    讓大家測試


    小白技術沒關係 金錢的力量 決定服務的高低

    2012年3月16日 上午 08:11
  • 這是這幾個月才發現的怪毒

    明天我取病毒樣本

    建議測試別連區網

    google 查 rsvpn.exe

    大陸有人連Win7 也中


    Wang.S.W.

    2012年3月16日 上午 11:05
  • 會這樣表示你的病毒至少是成對以上的,一個是病毒碼,一個是後門負責當病毒被殺的時候再下載下來,而你後面還有後門程式,所以有可能是三個以上一組的程式。

    另外 PCCillin 會動態一直塞數字編號的更新檔來更新,自己確認一下。

    如果 50 台都中,應該是網域內的 AD Server 先中獎才會大家都有吧... 這種特別包的,防毒程式殺不全,我是偏向重灌比較好。


    論壇是網友平等互助 保證解答請至 微軟技術支援服務


    提問時,錯誤情境描述與錯誤訊息很重要,情境描述包含你做了什麼,預期的結果與實際發生的結果。一個最爛的問法範例:「我的電腦電腦怎麼不能開機?」誰知道你家是不是沒電還是你根本找不到電源鈕。

    2012年3月16日 下午 03:40
  • 我不知道該怎麼提供源碼

    平常 沒在用 免費空間

    願意分析這病毒的 請 Email    anda.service@gmail.com

    或  ftp:\\220.132.186.39     帳號  user    密碼  空白

    病毒樣本  rsvpn密碼1234

    我會寄出

    我覺得主要原因 是Pccillin 防毒漏接  網域內大部分都用 pccillin 2012 少數幾台用 avast

    傳播能力這麼強的病毒真是網管最頭痛的問題

    pccillin 把它當低風險 avast 分析為嚴重

    我比較想知道該怎麼做

    目前約 15台 client 跟目錄 有  server 狂當


    Wang.S.W.



    2012年3月22日 上午 03:49
  • Hi Iwillbeback

    透過分析工具後發現

    其中TXT檔案裏面有惡意程式指令馬

    另外另一個EXE檔案有PDF report

    2012年3月22日 上午 07:39
  • 謝謝大家

    問題已解決

    觀察結果:

    區網內有某台電腦散布病毒, 在分享器上 可看到 ACK 封包錯誤 被攔截 但一直無法找出 內網哪台電腦出狀況

    因為 IP 經過 偽造 變換不停的 真實IP 對 ip分享器的真實IP

    直到 在原本分享器外 再加一個聯外分享器 然後把原本分享器變成由第一層分享器取得虛擬IP

    偽造的 internet 對 internet

    IP 變成  區網內IP 對 IP分享器的真實IP

    終於找出封包最異常的中毒電腦 (本來一直用 sniffer 在觀察, 但刷版太快 很多天都找不出來, 因為他還會在區網

    散佈上述的病毒)

    網管實作上 要查區網內每一台電腦 其實很累, 甚至有些難度, (一台電腦10幾分鐘, 很快一天又下班了)


    Wang.S.W.

    2012年3月23日 上午 09:26