【求助】才裝機就中W32.HLLW.Gaobot.gen

[chao0707]

以光碟開機重建分割後安裝Win2000Server
然後裝上Norton anti-virus 企業版8.0
接著以光碟安裝無線網卡驅動程式
然後上網更新病毒碼
接下來開IE預備更新Windows Update
然後Norton 就告訴我中W32.HLLW.Gaobot.gen了
我確定我除了安裝OS的硬碟之外沒有任何其他儲存設備
也沒有其他的電腦
而中毒的電腦也在IP分享器之後
怎麼想都想不出到底是什麼漏洞會讓剛裝好的電腦就中毒
曾經參考http://securityresponse1.symantec.co...aobot.gen.html

不論是登錄值或是移除工具都找不到問題
但是Norton 本身是找的到gaobot的
且僅可在SafeMode中移除
可是移除gaobot後電腦仍會不定時到數讀秒關機
請幫幫我..

[ivantw]

步驟有誤，請參考以下連結： http://www.pczone.com.tw/showthread.php?t=123608

[chao0707]

最初由 Ivan Lin 發表
步驟有誤，請參考以下連結： http://www.pczone.com.tw/showthread.php?t=123608

感謝Ivan大大這麼快就回覆
我會參考該討論串的做法回去實做

只是難以理解的是
病毒到底是什麼時機點切入的
疾風的排除程序適用嗎....

現在嚴重懷疑是來源已忘記的母片....

[ivantw]

洞在這裡！

引述自：http://securityresponse1.symantec.co...aobot.gen.html
容易猜測的網路共用資料夾密碼
使用 TCP 埠號 135 和 445 來探測DCOM RPC 弱點（如 Microsoft Security Bulletin MS03-026 所述)
使用 TCP 埠號 80 來探測 WebDav 弱點 (如 Microsoft Security Bulletin MS03-007 所述)

先安裝防毒軟體是沒用的，蠕蟲依然可以透過作業系統漏洞進行感染。

所以在你接上網路線連上網路線，到你完成Windows更新前的這段空窗期，正是蠕蟲感染你的好時機。

所以最正確的做法，應該是在重新安裝電腦前，就先下載 M$ Service Pack & Patch 並作備份，以待安裝完成後可以在不需連上網路的狀態下，更新 Service Pack & Patch ，這部分更新完成後，再安裝好防毒軟體，然後才可以連上網路，做好病毒碼更新，至於其他細節部分，可以參考上篇連結內 Schnaufer 所給的補充。

至於我，有加裝IP分享器，可以避免掉大部分的蠕蟲與駭客攻擊，所以可以氣定神閒的安裝好 Windows 後，再慢慢連上網路作更新。要不要也買一台啊？

當然了，使用者本身習慣好壞也是很重要的一環，雖然IP分享器可以保障一定的安全性，可是要是使用者本身沒有警戒心，或是習慣太差（可以參考本篇）那不管多好的系統，依然是會有被攻擊感染的危險的。

[chao0707]

Ivan 兄

找到原因了
原來是自己豬腦袋
DMZ忘記關掉
結果等於門戶大開
給駭客玩好玩的
再重灌後已不會發生問題了

再次感謝你的熱心協助..