拉一下
很多人說沒有毒沒錯(至少防毒沒有叫
不過我傍晚六點安裝完解安裝後
筆電就待機然後出門去了
剛剛十點半回到家一連上線
諾頓2005就開始狂叫
安全警示建立 預設攔截 Master Paradise 特洛依木馬程式 規則。
連接埠:UDP(入埠)
遠端位址:116.227.244.12:11314
(後面花了快一個小時在點這些訊息= =為什麼諾頓不會一次顯示完Orz)
預估一分鐘最少有160次攻擊,而且來源IP都不一樣(最少有100個不同的IP)
後來四分鐘我就斷線去清查檔案了
以下是有可能有問題的檔案(至少我把它們移走後連線就沒再被攻擊了)
C:\Program Files\InstallJammer Registry(空資料夾,唯讀,隱藏)
C:\Documents and Settings\使用者名稱\Cookies\使用者名稱@wowd[1].txt
C:\Documents and Settings\使用者名稱\Cookies\使用者名稱@www.wowd[1].txt
C:\Documents and Settings\使用者名稱\Cookies\使用者名稱@freefause[1].txt
C:\Program Files\Java\jre6\launch4j-tmp\wowd.exe
C:\Documents and Settings\使用者名稱\Local Settings\Temp\wowd.port
C:\Documents and Settings\使用者名稱\Local Settings\Temp\http.port
C:\Documents and Settings\使用者名稱\Local Settings\Temp
\ijtmp_40AE427F-2489-44F3-A11A-AA646BF06172\uninstaller.exe
C:\Documents and Settings\使用者名稱\Local Settings\Temp
\ijtmp_F8C2383A-10E6-438C-A58B-6378498603A3\uninstaller.exe
C:\WINDOWS\Prefetch\WSCRIPT.EXE-0C5C5251.pf
C:\WINDOWS\Prefetch\UNINSTALL.EXE-014D3C96.pf
C:\WINDOWS\Prefetch\WOWD.EXE-2ABED105.pf
C:\WINDOWS\Prefetch\WOWD.EXE-37B8E1CE.pf
C:\WINDOWS\Prefetch\CSCRIPT.EXE-0A13A05C.pf
C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf
C:\WINDOWS\Prefetch\WOWD-1.4.0-BETA-WINDOWS-AB091-23C707D2.pf
C:\WINDOWS\Prefetch\JAVA.EXE-0302A951.pf
C:\Documents and Settings\使用者名稱\Application Data\Microsoft
\CryptnetUrlCache\Content\0797C381B2F87EB5A1D5573BD15BA4F4
C:\Documents and Settings\使用者名稱\Application Data\Microsoft
\CryptnetUrlCache\MetaData\0797C381B2F87EB5A1D5573BD15BA4F4
註1:使用者名稱就是你現在正在登入的windows使用者
可以從工作管理員>使用者查看哪個的狀態正在使用中的那位就是
註2:因為我用的是XP,所以其他作業系統不能保證檔案位置一樣
如果很擔心的話,可以開啟內建的搜尋檔案程式
進階選項勾選 搜尋系統資料夾、搜尋隱藏檔及資料夾、搜尋子資料夾
然後"什麼時候修改的"選 指定日期-建立日期-今天~今天
最後找到的所有檔案中,就查看哪些檔案建立在你安裝WOWD的那段時間
如果擔心砍到不該砍的檔案,可以先採用把那些檔案搬到其他地方的作法
(不過你要記得他們原本的位置)
(最後,記得處理前要先斷網路唷 囧)
--
很多人說沒有毒沒錯(至少防毒沒有叫
不過我傍晚六點安裝完解安裝後
筆電就待機然後出門去了
剛剛十點半回到家一連上線
諾頓2005就開始狂叫
安全警示建立 預設攔截 Master Paradise 特洛依木馬程式 規則。
連接埠:UDP(入埠)
遠端位址:116.227.244.12:11314
(後面花了快一個小時在點這些訊息= =為什麼諾頓不會一次顯示完Orz)
預估一分鐘最少有160次攻擊,而且來源IP都不一樣(最少有100個不同的IP)
後來四分鐘我就斷線去清查檔案了
以下是有可能有問題的檔案(至少我把它們移走後連線就沒再被攻擊了)
C:\Program Files\InstallJammer Registry(空資料夾,唯讀,隱藏)
C:\Documents and Settings\使用者名稱\Cookies\使用者名稱@wowd[1].txt
C:\Documents and Settings\使用者名稱\Cookies\使用者名稱@www.wowd[1].txt
C:\Documents and Settings\使用者名稱\Cookies\使用者名稱@freefause[1].txt
C:\Program Files\Java\jre6\launch4j-tmp\wowd.exe
C:\Documents and Settings\使用者名稱\Local Settings\Temp\wowd.port
C:\Documents and Settings\使用者名稱\Local Settings\Temp\http.port
C:\Documents and Settings\使用者名稱\Local Settings\Temp
\ijtmp_40AE427F-2489-44F3-A11A-AA646BF06172\uninstaller.exe
C:\Documents and Settings\使用者名稱\Local Settings\Temp
\ijtmp_F8C2383A-10E6-438C-A58B-6378498603A3\uninstaller.exe
C:\WINDOWS\Prefetch\WSCRIPT.EXE-0C5C5251.pf
C:\WINDOWS\Prefetch\UNINSTALL.EXE-014D3C96.pf
C:\WINDOWS\Prefetch\WOWD.EXE-2ABED105.pf
C:\WINDOWS\Prefetch\WOWD.EXE-37B8E1CE.pf
C:\WINDOWS\Prefetch\CSCRIPT.EXE-0A13A05C.pf
C:\WINDOWS\Prefetch\REGSVR32.EXE-396DEA2C.pf
C:\WINDOWS\Prefetch\WOWD-1.4.0-BETA-WINDOWS-AB091-23C707D2.pf
C:\WINDOWS\Prefetch\JAVA.EXE-0302A951.pf
C:\Documents and Settings\使用者名稱\Application Data\Microsoft
\CryptnetUrlCache\Content\0797C381B2F87EB5A1D5573BD15BA4F4
C:\Documents and Settings\使用者名稱\Application Data\Microsoft
\CryptnetUrlCache\MetaData\0797C381B2F87EB5A1D5573BD15BA4F4
註1:使用者名稱就是你現在正在登入的windows使用者
可以從工作管理員>使用者查看哪個的狀態正在使用中的那位就是
註2:因為我用的是XP,所以其他作業系統不能保證檔案位置一樣
如果很擔心的話,可以開啟內建的搜尋檔案程式
進階選項勾選 搜尋系統資料夾、搜尋隱藏檔及資料夾、搜尋子資料夾
然後"什麼時候修改的"選 指定日期-建立日期-今天~今天
最後找到的所有檔案中,就查看哪些檔案建立在你安裝WOWD的那段時間
如果擔心砍到不該砍的檔案,可以先採用把那些檔案搬到其他地方的作法
(不過你要記得他們原本的位置)
(最後,記得處理前要先斷網路唷 囧)
--
All Comments