出現疾風與Sasser相同症狀,但重開機後消失的無影無蹤

[hhdig]

系統 xp sp1
在尚未更新修正檔時出現了,倒數重開機的畫面
但是問題來了.....找不到病毒的蹤影

重新開機後電腦一切正常,也沒有作更新的動作
病毒就這樣無蹤影???
查過板上及防毒軟體公司所描述的中毒症狀,但是就是找不到病毒
機碼也一切正常,也用病毒移除工具掃描過,完全沒有發現
這兩種病毒會自動毀滅嗎??? 還是只在特定的時間發作???
若在特定時間發作,所有的文獻都沒有寫到說....
唯一奇怪的是在\WINDOWS\SYSTEM32底下有許多c_***.nls(***是數字)
與kdb***.dll的檔案,由於小弟對XP的系統不是很熟悉,
手邊也無安裝XP的電腦作比對,且文獻上也都沒有提到會建立這兩種檔案
所以小弟實在不知該往哪個方向把病毒揪出來.....

[iwjyiyh]

請參考
http://www.pczone.com.tw/vbb3/showthread.php?t=122874

[hhdig]

感謝您的提供
這篇我看過了,也依照裡面的方式找尋相關的檔案
但是就沒有發現呢!!!

還地一次碰到這樣的情況,病毒會憑空消失

[hhdig]

事情有點眉目了.....
有發現很像被植入後門程式

我會在去找一台灌XP的電腦來作比對

[happypost]

引用:

最初由 hhdig 發表
系統 xp sp1
在尚未更新修正檔時出現了,倒數重開機的畫面
但是問題來了.....找不到病毒的蹤影

重新開機後電腦一切正常,也沒有作更新的動作
病毒就這樣無蹤影???
查過板上及防毒軟體公司所描述的中毒症狀,但是就是找不到病毒
機碼也一切正常,也用病毒移除工具掃描過,完全沒有發現
這兩種病毒會自動毀滅嗎??? 還是只在特定的時間發作???
若在特定時間發作,所有的文獻都沒有寫到說....
唯一奇怪的是在\WINDOWS\SYSTEM32底下有許多c_***.nls(***是數字)
與kdb***.dll的檔案,由於小弟對XP的系統不是很熟悉,
手邊也無安裝XP的電腦作比對,且文獻上也都沒有提到會建立這兩種檔案
所以小弟實在不知該往哪個方向把病毒揪出來.....

在睡覺前重安裝了xp,結果起來時...中毒了,跟您一模一樣,也是查沒病毒

但是非常不穩定,連上微軟的update都不能...只好網路線拔掉在安裝一次

會不會是新變種...

[m9007]

引用:

最初由 hhdig 發表
系統 xp sp1
在尚未更新修正檔時出現了,倒數重開機的畫面
但是問題來了.....找不到病毒的蹤影

重新開機後電腦一切正常,也沒有作更新的動作
病毒就這樣無蹤影???
查過板上及防毒軟體公司所描述的中毒症狀,但是就是找不到病毒
機碼也一切正常,也用病毒移除工具掃描過,完全沒有發現
這兩種病毒會自動毀滅嗎??? 還是只在特定的時間發作???
若在特定時間發作,所有的文獻都沒有寫到說....
唯一奇怪的是在\WINDOWS\SYSTEM32底下有許多c_***.nls(***是數字)
與kdb***.dll的檔案,由於小弟對XP的系統不是很熟悉,
手邊也無安裝XP的電腦作比對,且文獻上也都沒有提到會建立這兩種檔案
所以小弟實在不知該往哪個方向把病毒揪出來.....

我的電腦也和你一樣也是這樣。
我是把服務裡的Remote Procedure Call (RPC)
裡的修復改成不執行動作。使xp不會重開機。
不過這只是冶標不治本。

[roamwind]

引用:

最初由 hhdig 發表

唯一奇怪的是在\WINDOWS\SYSTEM32底下有許多c_***.nls(***是數字)
與kdb***.dll的檔案,由於小弟對XP的系統不是很熟悉,
手邊也無安裝XP的電腦作比對,且文獻上也都沒有提到會建立這兩種檔案
所以小弟實在不知該往哪個方向把病毒揪出來.....

那些檔案應該都是XP本身的檔案
我新灌的XP堶探N有了

[hhdig]

引用:

最初由 roamwind 發表
那些檔案應該都是XP本身的檔案
我新灌的XP堶探N有了

嗯...謝謝

我也查過了,確實xp本身系統檔案就有了
不過在windows目錄下有一個s開頭的資料夾,我在其中發現不對勁的情況
因為有個檔案屬性竟是所謂的"字典檔",而在原XP的系統檔下
那個資料夾只有4個檔案,但它卻有7個檔案.......
並且探尋開啟的埠...竟有3~2是不正常的埠(例如5000,4321...)
所以我才懷疑已被植入後門

由於那台電腦不是我的,所以再有自動關機的情況時我並不在電腦前
所以只能依照電腦擁有者的口述來去猜測情況,
我也將網路線插上並監控網路連線情況(是屬於不同ISP),也無發現異常
反正擁有者已經要更換配備,所以系統完全要重新安裝了