真實情況:
某企業使用者接到中華電信發函警告『所屬ip持續發送垃圾郵件,請儘速清除病毒,否則將列入黑名單』!
處理情形:
1.該公司負責處理信件收發主機僅一台,雖有裝設ip分享器,但初步研判應該是該主機受跳板病毒感染,經觀察確認網路連線收發的確有不正常情形!
2.移除原先裝設的防毒軟體改裝江民,掃描後無發現病毒且網路傳輸仍有異狀,開啟江民進程管理器發現一怪異進程(程序),如下圖~
按下右鍵開啟檔案視窗
檔案位於C:\Documents and Settings\使用者名稱\Local Settings\Temp下,且同時發現類似檔名檔案數個~
開啟江民樣本庫編輯,把看到的2個檔案抓進去(下方的260.exe不抓是為了測試樣本庫功力)
樣本庫掃描後發現,同一資料夾內的xxx.exe全數被抓出,而且還抓到網頁暫存區中有類似的樣本(檔名不同,應該是病毒本體)
按下殺樣本後發現,除206.exe以外均可直接刪除!
按下關閉會提示需重新啟動電腦!請按『是』!!
重新開機完畢再次執行樣本庫掃描已無所獲,確認樣本清除完成!
3.開始修復動作:
先執行安全住手中的系統修復,果然有被更動過的痕跡,選取後按下修復即可~
(第1,2項可不勾)
再來,清除網頁及磁碟暫存檔,以免仍有病毒殘留!
一樣是安全助手中的系統清理~
在啟動項管理中發現跟病毒同名的啟動程序,而執行垃圾桶中的檔案更是不可思議,一併刪除之~
執行系統診斷發現另一支木馬程式的啟動指令及病毒本體,勾選後按下『修復選中項』即可順利清除!
再度重新開機後檢測,網路不正常傳輸情況已排除且系統狀況正常,交機數日後客戶來電表示去電中華電信詢問確認狀況已解除!!
後記:
除跳板病毒外,網路不正常傳輸者排除系統自身問題外,幾乎都是感染木馬所導致,即時通訊登入正常但網頁無法開啟者也多半是因為木馬佔用了大量頻寬所造成!
以上現象都可參考上文解法如法炮製測試~~
