[問題] 病毒有可能感染其他.exe檔嗎(avast) | PTT 熱門文章Hito

AT Windows 病毒碼是TR/Dropper.Gen 特洛伊木馬程式是TR/PSW.OnlineGames.xxaa 特洛伊木馬程式包含DR/Drop.Mudrop.kzg 病毒植入程式的辨識模式是TR/Sasfis.awqq 特洛伊 ... Togglenavigation PTT熱門文章Hito 熱門文章 今日熱門 本周熱門 [問題]病毒有可能感染其他.exe檔嗎(avast) 看板 antivirus 作者 GBO5 時間 2014年03月13日 留言 61則留言，7人參與討論 推噓 5  ( 5推 0噓 56→ ) 因為朋友放假他在玩x服，想說陪他玩， 我把防毒關掉放x服程式後， 再開啟防毒(當時我忘記把該程式放排除)， 結果果然又跳出說隔離。

接下來就囧了， 防毒開始發神經似的開始跳出其他我以前遊戲或是程式.exe說有毒要隔離， 像offoce(某個程式)/bbo(遊戲執行檔&移除檔)/破解檔， 我在手動完整掃描or執行都不曾要跳出過中毒訊息。

我想說可能是個案吧把AVAST移除安裝小紅傘。

結果安裝完更慘， 三不五時跳出XX.exe檔(幾乎都是執行/移除程式)偵測到病毒或是危害程程式(選項修復)， 最扯的連NVIDIA驅動程式資料夾中的7z.exe也被偵測有問題， 另外被丟到隔離的C:\mtyu.exe(我完全沒印象有這個檔案)。

難道我真的中毒了嗎? 還是只是誤會一場? -- ※發信站:批踢踢實業坊(ptt.cc) ◆From:36.231.21.112 1F推George017:覺得可疑就上傳到Virustotal看看吧！03/1321:50 2F推quill4506:有可能==之前就這樣中過...最後忘記是系統還原還是重灌03/1402:17 3F→quill4506:，反正弄得我很煩QQ03/1402:17 4F推quill4506:原PO可以搜尋我ID看看我那時發生什麼事，不過有些問題沒03/1402:24 5F→quill4506:有被回答就是QQ住原PO好運囉03/1402:24 看了一下好像沒那麼嚴重但也不輕鬆就是... 第一次掃出3x個 1.幾乎都是移除/執行/安裝檔都能修復成功 包含W32/Sality.ATWindows病毒碼 2.幾個是遊戲x服or中文化程式or破解(無法修復不確定是否為誤判or被感染) 是TR/Barys.1776.28特洛伊木馬程式 是TR/Agent.49664.29特洛伊木馬程式 是TR/Gendal.78848.7特洛伊木馬程式 包含W32/Sality.ATWindows病毒碼 是TR/Dropper.Gen特洛伊木馬程式 是TR/PSW.OnlineGames.xxaa特洛伊木馬程式 包含DR/Drop.Mudrop.kzg病毒植入程式的辨識模式 是TR/Sasfis.awqq特洛伊木馬程式 是TR/ATRAPS.Gen特洛伊木馬程式 是TR/Kazy.37274.13特洛伊木馬程式(這是網路遊戲安裝檔) 3.我不知道的exe檔 C:\mtyu.exe(我找不到了...) F:\dvkpim.exe是TR/Crypt.ZPACK.Gen特洛伊木馬程式 G:\hllox.exe是TR/Crypt.ZPACK.Gen特洛伊木馬程式 剛看了一下上面3個好像是個槽的autorun.inf文建檔的 例如 ;GCbrPyuyTavEYICeyOeTFtMIdTdgoGBirrqjrxQccircgmEvDvwuhJsNmnQRoJTaleevuHy [AutoRun] ;fuswFllhPsFnkJCBRuuucWYvmFrqsdxyBySmmRHxQqiBtTVdNGDwcapItke ;orsafovKBaAEhncAXnwjHiwceLqKCwBABIvJnptCykkhqIrNnTOQOemUUffVydwHpTQ sHell\opEn\dEfault=1 ;ojuNx oPen=hllox.exe ;khlqGurTjNXqltDCyQ shELL\explORE\CoMmAnd=hllox.exe ;dgCPEEHaFtPontrr SHell\open\cOMmaND=hllox.exe ;KbYqMoXHigDvxonnsvyRiGXajGpXvpDodJwkAsdXknVJi ShelL\AutoPlay\command=hllox.exe ※編輯:GBO5來自:36.231.21.112(03/1408:01) 6F推SDUM:感染型最好重裝，就算修回來也不是原檔。

03/1408:28 7F→y3k:你這個重灌了已病入膏肓03/1409:33 8F→y3k:不然就是先把置底文的求救流程跑一遍坦白說我會建議重灌啦...03/1409:35 9F→skychy:病毒之所以叫做病毒，就是他有感染其他檔案的能力...03/1411:50 10F→y3k:樓上說的其實不正確@@病毒有分兩種一種是造成系統失靈功能不03/1412:10 11F→y3k:正常一種才是真正能感染其他東西造成變異你可以用惡靈古堡系03/1412:10 12F→y3k:列的T-Virus和一般感冒病毒造成的影響比較就不難理解這點XD03/1412:11 13F→quill4506:真的建議趕快處理，我一開始也是感染幾個檔，後來就多03/1412:53 14F→quill4506:到幾百個，很煩==03/1412:53 目前的作法是掃毒完把能修復的修復 移動到隔離區的刪除 c/f/g槽的autorun.inf手動移除 再重開用小紅傘掃一次後沒掃出問題 再來可能會先用有人推薦的AviraAntiVirRescueSystem掃看看 另外關於重灌 是只要單純重灌系統槽?還是連其他槽都要一起格式化? ※編輯:GBO5來自:36.231.101.182(03/1415:07) 15F→y3k:可以先不一起格式化但是如果重灌完還是有狀況就要全部格式化03/1422:26 16F→y3k:了這是建議你自己權衡如果你要聽我個人的建議當然是全部格03/1422:28 17F→y3k:式化掉但是根據經驗這樣講聽的人有一半以上不會照做XDrz03/1422:28 那我先再問個問題(因為重灌雖然簡單但之後的路程才麻煩...) 如果我現在重開機後各槽皆沒有autorun.inf檔(其他地方的都正常沒被修改) 之後用小紅傘完整掃描也沒掃出病毒 那這樣代表我電腦正常了嗎?還是說可能會有潛伏期? 另外再掃毒中執行其他程式會影響掃毒準確率嗎? ※編輯:GBO5來自:36.231.106.63(03/1500:34) 18F推mimeory:小建議玩x服裝個虛擬機器吧...可省很多事03/1601:50 真的... 不過我虛擬機也有問題...(找不到解) VMware10 跳出VMwareWorkstationunrecoverableerror:(vcpu-0) 如圖https://i.imgur.com/e5w7kvc.jpg 點OK後強制關閉虛擬主機 不點就卡在那邊 19F→y3k:如果你沒有完全格式化就有這種二次感染的可能但是一般人電腦03/1609:50 20F→y3k:中毒會來找人修表示對資料有重視所以這點小弟沒辦法隔空幫你03/1609:51 21F→y3k:判斷要看你中的是什麼樣的東西和他進行破壞的方式再來判斷哪03/1609:52 22F→y3k:些東西可以處理很多病毒都會躲在系統裡影響防毒軟體的運作這03/1609:54 所以躲在系統的病毒防毒掃不到嗎? 23F→y3k:就是我說的病入膏肓--你知道有問題但是防毒抓不到我是建議你03/1609:54 其實我也不知道有沒有問題 因為防毒把疑似病毒都修復成功&不能修復的移動到隔離區(手動移除) 再把可疑的autorun.inf檔手動刪除 經過2天也沒有再掃出病毒的跡象 24F→y3k:如果真的覺得重灌麻煩先試試Kaspersky和Avira的防毒光碟都掃03/1609:55 25F→y3k:過一次還是不行的話重灌系統槽一次再有異狀(重灌完後裝防毒03/1609:55 所以如果用Avira的防毒光碟掃完沒有異狀的話(話說...何謂異狀?) 是否代表正常?還是說有潛伏可能? 26F→y3k:依舊有異常狀況)再把重要資料拿外接裝置備份一下再全部格式化03/1609:57 27F→y3k:重灌如果你對電腦有基本操作能力可以在第一次重灌時先把除了03/1609:58 28F→y3k:系統槽以外的槽關掉裝完基本防毒再開啟他們進行掃毒可能可以03/1609:59 29F→y3k:省一點事03/1609:59 關非系統槽沒學過 現在我大概頃向重灌系統槽吧(雖然能不用的話當然不用...) ※編輯:GBO5來自:36.231.102.231(03/1616:38) 30F→y3k:你可以想像成系統有一層是先佔先贏的病毒先攻破了那層的話防03/1617:44 31F→y3k:毒軟體就拿躲在裡面的病毒沒轍(這樣說有點小瑕疵但可以快速了03/1617:45 32F→y3k:解狀況)所以才會需要RescueDisk去深入掃描但是你可能會遇到03/1617:46 33F→y3k:兩種狀況(如果Rescuedisk掃完已經沒東西掃出來的話):1.病毒在03/1617:47 34F→y3k:該層挖了一個大洞讓更多病毒可以繼續趁隙而入這要修房子的來03/1617:48 35F→y3k:修(重灌or試著找是哪邊被挖洞然後去補回來)2.病毒並沒有做太03/1617:49 36F→y3k:嚴重的破壞只是在那邊住著做壞事而已那這樣就可以放心03/1617:50 37F→y3k:如果要我個人建議的話根據你目前的敘述姑且可以暫時先用用03/1617:51 38F→y3k:之後發現有什麼比如說網路有異常流量啦、首頁突然被綁架啦、帳03/1617:53 39F→y3k:號被盜這種情況的話就表示還有東西躲在裡面就重灌系統槽吧03/1617:53 40F→y3k:我知道一般人都會怕麻煩所以希望愈不用重灌愈好但是如果你的03/1617:54 41F→y3k:電腦有非常重要的工作用途或者有作金流功能(線上刷卡、交易之03/1617:55 42F→y3k:類我會建議你直接重灌為妙如果你的電腦平常只是打打電動上上03/1617:56 43F→y3k:網沒有什麼非常重要的資料只是要重弄覺得很麻煩而已的話倒03/1617:56 44F→y3k:是可以就這樣看看畢竟小紅傘的查抓率還是可以信任的高水準03/1617:58 45F→y3k:他掃了沒東西的話我個人會判斷為真的已經清光了或已病入膏肓03/1618:00 了解這2天看下來網路流量/首頁綁架/帳號皆沒有問題 只有昨天莫名被wikiwiki鎖ip(表示該ip亂編輯)不過我是浮動ip所以應該是個案 我之後應該還是會找時間重灌(畢竟遊戲帳號被盜大概跟信用卡盜刷一樣心痛) 問個問題 這樣算中毒現象嗎?(以前都不會注意但現在有中毒可能就開始疑神疑鬼了...) 1.登入遊戲I游標閃爍異常(只有該遊戲會這樣其他文件檔/論壇輸入都正常) 這是正常閃爍(穩定) http://youtu.be/Ao9yxZlDOuM 這是異常閃爍(出現遊標後持續閃爍) http://youtu.be/SmunNo2fcgY 2.svchost.exe吃記憶體吃到2xx,xxxK https://i.imgur.com/sUeqejA.jpg 開機剛開始只有1xx,xxxK隨後慢慢變高到2xx,xxK ※編輯:GBO5來自:36.231.18.233(03/1619:15) 46F→mmis1000:svhost是服務宿主，如果掛在上面的服務太多/寫太爛，可能03/1620:17 47F→mmis1000:但也可能是被掛了奇怪的東西，這程式只是載體，無法判斷03/1620:19 48F→y3k:你這要看該svchost是掛了哪個服務你有注意的話會發現其實有很03/1621:05 49F→y3k:多個svchost同時在跑他們都被掛了不同的服務這是windows的機03/1621:06 50F→y3k:制之一不過他也導致了很多病毒用這招在藏目前就如樓上所云無03/1621:06 51F→y3k:從判斷或許你可以去"服務"頁面看看有沒有奇怪的東西??不過我03/1621:07 52F→y3k:看過的服務病毒大多藏得很好就是了==+另外游標閃爍的問題你03/1621:07 53F→y3k:先擱著吧畢竟你以前沒啥注意我覺得應該是遊戲程式自己造成的03/1621:08 54F→y3k:機會比較大吧如果只有該遊戲會這樣的話...03/1621:08 55F→y3k:我建議你除了小紅傘RescueDisk之外再去燒一片卡巴斯基的Resc03/1621:09 56F→y3k:ueDisk也掃掃看不過卡巴斯基更新比較久就是了要有點耐心XD03/1621:10 我對svhost右鍵移至服務有幾個被圈選這樣看的出來嗎? AudioEndpointBulder CscService hidserv Netman PcaSvc SysMain TrkWks UxSms ※編輯:GBO5來自:36.231.17.42(03/1712:39) 57F→y3k:看那個2xxMB的是哪個吧@@03/1714:21 服務那邊看的到記憶體消耗嗎? 2xxmb是svchost.exe 描述:WindowsServices的主機處理程序 位置:C:\Windows\System32 https://i.imgur.com/sUeqejA.jpg 我對該svhost.exe右鍵移至服務上敘是被選取的服務 ※編輯:GBO5來自:36.231.104.97(03/1717:13) 58F→y3k:ISee那這樣應該也沒辦法準確判別你先這樣看看吧事實上我個03/1718:36 59F→y3k:人經驗是惡意軟體除非目的就是擾亂操作否則大多數都不會寫到03/1718:36 60F→y3k:吃大量資源所以你可以先這樣看看除此之外以目前看到的資訊來03/1718:37 61F→y3k:說小弟我也不知道怎麼判斷是否還有問題....03/1718:38 ‣返回antivirus看板 antivirus熱門文章 11 [討論]F-Secure和BitDefender選擇 43 2022-03-2401:07 13 [情報]小心俄國網攻！德國警告：別用卡巴斯基 31 2022-03-1602:52 22 [心得]卡巴斯基官方與俄羅斯關係的說明 53 2022-03-0723:46 18 [情報]F-secure價格標錯？ 35 2021-08-1221:27 3 Re:[問題]目前最推薦的防毒軟體 102 2021-08-0319:20 27 [問題]目前最推薦的防毒軟體 68 2021-07-2713:01 14 [問題]目前最推薦的防毒軟體 33 2021-02-0809:27 19 Re:[問題]求救!被駭客集團纏上了..... 30 2020-12-2917:02 24 [問題]中了勒索病毒但是不知原因 51 2020-12-1522:46 15 [公告]DINJIAPC版規三水桶一年 45 2020-10-3106:52 -12 [心得]提問的智慧節錄 46 2020-10-3016:37 23 Fw:[情報]$399卡巴安全軟體2021一台2年 33 2020-10-3011:54 -5 [公告]pcfox水桶14日 52 2020-10-3007:27 10 [討論]防毒軟體的兒童防護網站過濾 32 2020-10-2601:51 11 [問題]Avast評價 55 2020-10-2308:45 18 [求救]中了勒索病毒 55 2020-10-0916:25 44 [情報]pchome卡巴安全2年399 53 2020-08-0109:39 9 [求救]收到中華電信寄來的警告信(疑似被當跳板) 45 2020-07-3014:34 15 [心得]中了勒索病毒處理 47 2020-07-2722:44 56 [情報]卡巴斯基5台/2年買一送一5/20~5/25 74 2020-05-2011:47 64 [討論]中油加油站中了勒索病毒？ 249 2020-05-0415:20 9 [求救]感染勒索病毒！ 35 2020-04-0111:16 4 [討論]手機裝防毒的必要?大家有沒有裝? 40 2020-03-1317:28 20 [公告]DINJIAPC水桶180天 55 2020-03-0918:12 1 Re:[請益]淘汰avast後該選ESET或是趨勢？ 72 2020-03-0904:00 18 [問題]Win10中勒索病毒 81 2020-02-1801:14 7 [討論]2020的WD與免費版2A請益～ 35 2020-02-0203:08 11 [情報]防毒軟體Avast遭爆出售用戶瀏覽資料 31 2020-01-2823:27 12 [問題]卡巴斯基Free跟WindowsDefender差別在哪 67 2020-01-2603:29 18 [請益]淘汰avast後該選ESET或是趨勢？ 74 2020-01-2315:58 -6 [討論]win10是不是根本不用裝防毒 30 2020-01-1616:53 7 [問題]趨勢科技手機防毒國外可使用嗎? 66 2020-01-0717:12 18 [公告]從本篇後禁止刪除推文 58 2020-01-0221:53 42 [公告]DINJIAPC水桶 48 2019-12-3121:49 7 [問題]avast跳出追蹤通知 33 2019-12-2923:05 9 [情報]Avast「墮落」了？ 44 2019-12-2623:40 8 [問題]諾頓/pccillin 40 2019-12-2615:06 18 [合購]卡巴斯基安全軟體3台一年泰騰恩購入 78 2019-12-2522:21 19 [討論]合購規定修改的必要性 63 2019-12-1822:35 熱門文章 Re:[閒聊]我審美有問題嗎 Re:[LIVE]金塊@湖人下半場 [心得]雷2521羅希度的媽申在京 [瓦特]深夜誠實說 [電競]2022LCSSpringPlayoffsRound1Day2 [難過]被騙了三十萬…覺得好無力好難過 [LIVE]金塊@湖人上半場 [心得]莫名其妙的2521(內含雷) [討論]阿卡拉茲一個巨星的誕生 Re:[心得]我是年輕人，但拒當凱子 [閒聊]我審美有問題嗎 [心得]回首二十五，二十一 [請益]4k免插電顯示卡升級極度特規套裝機 [心得]二十五二十一-致青春，遺憾與釋然 [閒聊]金泰梨(內有大量作品雷) [邊緣]aquafox給我2700000p耶 [瓦特]偷瓦可愛 [心得]硬要來的二十五，二十一(負雷) [心得]2521結局心得文 [閒聊]想早睡但還沒睡陣線