【問題】因游標漏洞無法上網,都出現Service unavailable



贊助商連結


yuhsheng
2007-04-03, 05:26 PM
上任何網站,domain name後都被自動加入aa.jpg,並自動轉向至某IP,連線過程中看原始檔就是標準的游標漏洞格式,然後就出現Service Unavailable.
同一環境有幾台電腦是如此,但多數電腦是正常.

因電腦有還原軟體,但重開還是一樣,防火牆已將該IP封鎖,也裝了X-Solve的修補,但還是一樣.

有人有同樣的狀況嗎??

贊助商連結


sai7sai
2007-04-03, 08:36 PM
上任何網站,domain name後都被自動加入aa.jpg,並自動轉向至某IP,連線過程中看原始檔就是標準的游標漏洞格式,然後就出現Service Unavailable.
同一環境有幾台電腦是如此,但多數電腦是正常.

因電腦有還原軟體,但重開還是一樣,防火牆已將該IP封鎖,也裝了X-Solve的修補,但還是一樣.

有人有同樣的狀況嗎??

有樣本可提供嗎?這樣比較好找問題,謝謝。

kirbylemming
2007-04-04, 02:13 PM
這幾天公司同仁的電腦也陸續出現同樣的問題,也是使用IE時被自動加入aa.jpg,並自動轉向至某IP執行.ani檔案,使用卡巴斯基也掃不出病毒,後來用antivir免費版才發現在C:\Documents and Settings\使用者帳號\Local Settings底下掃出一個檔案叫SMAmax.exe有病毒,把它刪掉並把IE的暫存檔也清掉,再使用regedit搜尋登錄檔,把含有SMAmax.exe的登錄檔都刪掉(我的情形是在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run底下發現的),重開機之後就沒出現問題了,用antivir也掃不到了,您可以參考看看

yuhsheng
2007-04-04, 08:47 PM
這幾天公司同仁的電腦也陸續出現同樣的問題,也是使用IE時被自動加入aa.jpg,並自動轉向至某IP執行.ani檔案,使用卡巴斯基也掃不出病毒,後來用antivir免費版才發現在C:\Documents and Settings\使用者帳號\Local Settings底下掃出一個檔案叫SMAmax.exe有病毒,把它刪掉並把IE的暫存檔也清掉,再使用regedit搜尋登錄檔,把含有SMAmax.exe的登錄檔都刪掉(我的情形是在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY-USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Run底下發現的),重開機之後就沒出現問題了,用antivir也掃不到了,您可以參考看看
症狀似乎一樣,但我用過autoruns和process explorer都沒有看到可疑的程序.
昨天有問題的電腦,今天幾乎都變正常了,換其它幾台電腦有問題.
今天在其中一台電腦裝了sygate personal firewall,就正常了.
我懷疑是某台因漏洞被植入木馬,並向其它電腦攻擊.
謝謝提供經驗談,下週一再仔細看看