Board logo

主題: [求助] [問題]我電腦中蠕蟲了?? [打印本頁]

發表人: ben_chien    時間: 2009-1-23 12:12 AM     主題: [問題]我電腦中蠕蟲了??

今天我開啟utorrent下載東西,上傳開50KB/s,下載沒限制
下載跑到滿檔,utorrent內的上傳顯示50KB/s,但是看其他的流量軟體,我的總上傳卻是8xKB/s

而我拿了Lavasoft AD-aware 6.01來掃
它跟我說我中蠕蟲了@@a

內容如下
Name Type Category Object Comment
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{0CF774D0-F077-11D1-B1BC-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa File Worm c:\windows\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{0CF774D1-F077-11D1-B1BC-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{32DA2B15-CFED-11D1-B747-00C04FC2B085}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{85131630-480C-11D2-B1F9-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{85131631-480C-11D2-B1F9-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{EE09B103-97E0-11CF-978F-00A02463E06F}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:TYPELIB\{420B2830-E718-11CF-893D-00A0C9054228}\C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:ASP.HostEncode\ ({0CF774D1-F077-11D1-B1BC-00C04F86C324})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:HTML.HostEncode\ ({0CF774D0-F077-11D1-B1BC-00C04F86C324})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:JSFile.HostEncode\ ({85131630-480C-11D2-B1F9-00C04F86C324})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:Scripting.Dictionary\ ({EE09B103-97E0-11CF-978F-00A02463E06F})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:Scripting.Encoder\ ({32DA2B15-CFED-11D1-B747-00C04FC2B085})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:Scripting.FileSystemObject\ ({0D43FE01-F093-11CF-8940-00A0C9054228})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:VBSFile.HostEncode\ ({85131631-480C-11D2-B1F9-00C04F86C324})

我又拿趨勢的Hijack this 2.0.2掃描並且丟去做分析
但是沒發現有異常狀況

請問這真的是出問題了嗎??
發表人: 陽だまり    時間: 2009-1-23 07:17 AM

其實,要看速度的話
把所有有用到頻寬的軟體關掉比較準

或者是,你可以看頻寬管理的軟體
看是除了bt軟體之外,還有那個程式在用你的頻寬

提供一個掃檔網站,可以丟上去掃看看
http://www.virustotal.com/zh-tw/
發表人: ben_chien    時間: 2009-1-23 09:17 AM


引用:
陽だまり寫到:
其實,要看速度的話
把所有有用到頻寬的軟體關掉比較準

或者是,你可以看頻寬管理的軟體
看是除了bt軟體之外,還有那個程式在用你的頻寬

提供一個掃檔網站,可以丟上去掃看看
http://www.virustotal.com/zh-tw/

感謝提供資訊
這個網站我第一時間就把那個scrrun.dll放上去掃,結果是0%找到病毒的
然而我用ad-aware把那些項目清掉之後,再用comboFix再做掃描,掃完重開機
再用ad-aware掃一次,那些東西還是跑出來
我朋友也用ad-aware同樣版本同樣定義擋來掃,那些東西也跑出來
不知道是不是誤判,不過我用上列機碼在google上面找到有人提到是ASP木馬...囧
我用的防毒軟體是NOD32 2.7最新版(包含病毒碼)

當我重開機後,看網路流量是幾乎不動的
但是在開啟utorrent之後(未更動設定),我看greenbrowser內附錶的上傳速度就開始往上升到8xkB/s
用另一套板友中文化的"鴨與大蔥"的網路流量控制器來看,上傳流量也是8xKB/s,活動中的軟體只有msn(幾乎不占流量)與utorrent
發表人: alexanita    時間: 2009-1-23 09:48 AM

文件:          scrrun.dll         
名稱:         Microsoft Script Runtime
英文描述:        scrrun.dll contains libraries for reading and writing scripts and text files.

這應該不是SPYWARE吧,除非是用同一個名字
發表人: ben_chien    時間: 2009-1-23 10:58 AM

剛剛上班用公司的電腦掃一遍,結果也跑出那些東西...@@a
真不知道是不是誤判
有人可以提供一些線索嗎??
發表人: mmcatdog    時間: 2009-1-23 11:28 AM

ad-aware版本更新一下 用2008試試看
nod2.7最好換成3.0較佳 2.7主要是對於2000前的軟體 xp上有些無力
發表人: 陽だまり    時間: 2009-1-23 11:30 AM

既然三台電腦都抓到一樣的病毒
那應該是誤判吧

如果鴨蔥看到8x的上傳時
把ut給閱了、上傳會比較正常的話
那應該是單純ut的上傳破表而已
發表人: DD    時間: 2009-1-23 04:05 PM

UT很容易控制不住速度 我也是這個情形 明明上傳沒設定那麼大
可是UT就跑超過了....

這是正常的情形 不是中毒..
UT關了就正常了
發表人: ben_chien    時間: 2009-1-23 05:00 PM

感謝大家的回文
今天我朋友也在工作地點的電腦掃的一遍,結果一樣有這16個worm跑出來
總計四台電腦,那可能是程式誤判了
不過UT爆這麼大還是第一次發生...
下午上傳開無限制,UT內部顯示大約250上下,使用其他軟體看卻可達300上下的上傳...




歡迎光臨 TWed2k (http://twed2k.org/) Powered by Discuz! 4.1.0