TWed2k - 軟體求助討論區 - [問題]我電腦中蠕蟲了??

ben_chien
青銅驢友

給我錢，其餘免談...

．積分： 200
．文章： 607
．收花： 1252 支
．送花： 101 支
．比例： 0.08
．在線： 478 小時
．瀏覽： 20928 頁
．註冊： 7396 天
．失蹤： 1408 天
．另一個地球〈只有我一個人和 ...

#1 : 2009-1-23 12:12 AM 只看本作者	送花 (0) 送出中...

今天我開啟utorrent下載東西，上傳開50KB/s，下載沒限制
下載跑到滿檔，utorrent內的上傳顯示50KB/s，但是看其他的流量軟體，我的總上傳卻是8xKB/s

而我拿了Lavasoft AD-aware 6.01來掃
它跟我說我中蠕蟲了@@a

內容如下
Name Type Category Object Comment
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{0CF774D0-F077-11D1-B1BC-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa File Worm c:\windows\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{0CF774D1-F077-11D1-B1BC-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{32DA2B15-CFED-11D1-B747-00C04FC2B085}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{85131630-480C-11D2-B1F9-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{85131631-480C-11D2-B1F9-00C04F86C324}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:CLSID\{EE09B103-97E0-11CF-978F-00A02463E06F}\ C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:TYPELIB\{420B2830-E718-11CF-893D-00A0C9054228}\C:\WINDOWS\system32\scrrun.dll
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:ASP.HostEncode\ ({0CF774D1-F077-11D1-B1BC-00C04F86C324})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:HTML.HostEncode\ ({0CF774D0-F077-11D1-B1BC-00C04F86C324})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:JSFile.HostEncode\ ({85131630-480C-11D2-B1F9-00C04F86C324})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:Scripting.Dictionary\ ({EE09B103-97E0-11CF-978F-00A02463E06F})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:Scripting.Encoder\ ({32DA2B15-CFED-11D1-B747-00C04FC2B085})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:Scripting.FileSystemObject\ ({0D43FE01-F093-11CF-8940-00A0C9054228})
Win32.Worm.Glowa Regkey Worm HKEY_CLASSES_ROOT:VBSFile.HostEncode\ ({85131631-480C-11D2-B1F9-00C04F86C324})

我又拿趨勢的Hijack this 2.0.2掃描並且丟去做分析
但是沒發現有異常狀況

請問這真的是出問題了嗎??

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

陽だまり
白銀驢友

ささらの可愛さは異常

．積分： 1330
．精華： 1
．文章： 3159
．收花： 10387 支
．送花： 26639 支
．比例： 2.56
．在線： 4508 小時
．瀏覽： 30308 頁
．註冊： 7383 天
．失蹤： 1390 天
．星の彼方

#2 : 2009-1-23 07:17 AM 只看本作者	送花 (3) 送出中...

其實，要看速度的話
把所有有用到頻寬的軟體關掉比較準

或者是，你可以看頻寬管理的軟體
看是除了bt軟體之外，還有那個程式在用你的頻寬

提供一個掃檔網站，可以丟上去掃看看
http://www.virustotal.com/zh-tw/

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ben_chien
青銅驢友

給我錢，其餘免談...

．積分： 200
．文章： 607
．收花： 1252 支
．送花： 101 支
．比例： 0.08
．在線： 478 小時
．瀏覽： 20928 頁
．註冊： 7396 天
．失蹤： 1408 天
．另一個地球〈只有我一個人和 ...

#3 : 2009-1-23 09:17 AM 只看本作者	送花 (3) 送出中...

引用:

陽だまり寫到:

其實，要看速度的話
把所有有用到頻寬的軟體關掉比較準

或者是，你可以看頻寬管理的軟體
看是除了bt軟體之外，還有那個程式在用你的頻寬

提供一個掃檔網站，可以丟上去掃看看
http://www.virustotal.com/zh-tw/

感謝提供資訊
這個網站我第一時間就把那個scrrun.dll放上去掃，結果是0%找到病毒的
然而我用ad-aware把那些項目清掉之後，再用comboFix再做掃描，掃完重開機
再用ad-aware掃一次，那些東西還是跑出來
我朋友也用ad-aware同樣版本同樣定義擋來掃，那些東西也跑出來
不知道是不是誤判，不過我用上列機碼在google上面找到有人提到是ASP木馬...囧
我用的防毒軟體是NOD32 2.7最新版(包含病毒碼)

當我重開機後，看網路流量是幾乎不動的
但是在開啟utorrent之後(未更動設定)，我看greenbrowser內附錶的上傳速度就開始往上升到8xkB/s
用另一套板友中文化的"鴨與大蔥"的網路流量控制器來看，上傳流量也是8xKB/s，活動中的軟體只有msn(幾乎不占流量)與utorrent

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

alexanita
銅驢友〔初級〕

．積分： 118
．文章： 307
．收花： 823 支
．送花： 1003 支
．比例： 1.22
．在線： 2303 小時
．瀏覽： 1060 頁
．註冊： 8145 天
．失蹤： 98 天
． TWed2k-DVD幫BT組

#4 : 2009-1-23 09:48 AM 只看本作者	送花 (0) 送出中...

文件： scrrun.dll
名稱： Microsoft Script Runtime
英文描述： scrrun.dll contains libraries for reading and writing scripts and text files.

這應該不是SPYWARE吧，除非是用同一個名字

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ben_chien
青銅驢友

給我錢，其餘免談...

．積分： 200
．文章： 607
．收花： 1252 支
．送花： 101 支
．比例： 0.08
．在線： 478 小時
．瀏覽： 20928 頁
．註冊： 7396 天
．失蹤： 1408 天
．另一個地球〈只有我一個人和 ...

#5 : 2009-1-23 10:58 AM 只看本作者	送花 (0) 送出中...

剛剛上班用公司的電腦掃一遍，結果也跑出那些東西...@@a
真不知道是不是誤判
有人可以提供一些線索嗎??

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7345 天
．失蹤： 246 天

#6 : 2009-1-23 11:28 AM 只看本作者	送花 (0) 送出中...

ad-aware版本更新一下用2008試試看
nod2.7最好換成3.0較佳 2.7主要是對於2000前的軟體 xp上有些無力

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

陽だまり
白銀驢友

ささらの可愛さは異常

．積分： 1330
．精華： 1
．文章： 3159
．收花： 10387 支
．送花： 26639 支
．比例： 2.56
．在線： 4508 小時
．瀏覽： 30308 頁
．註冊： 7383 天
．失蹤： 1390 天
．星の彼方

#7 : 2009-1-23 11:30 AM 只看本作者	送花 (0) 送出中...

既然三台電腦都抓到一樣的病毒
那應該是誤判吧

如果鴨蔥看到8x的上傳時
把ut給閱了、上傳會比較正常的話
那應該是單純ut的上傳破表而已

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

DD
銀驢友〔初級〕

．積分： 454
．文章： 2100
．收花： 2665 支
．送花： 1287 支
．比例： 0.48
．在線： 5186 小時
．瀏覽： 63007 頁
．註冊： 8158 天
．失蹤： 1 天
． [W.W.E]

#8 : 2009-1-23 04:05 PM 只看本作者	送花 (0) 送出中...

UT很容易控制不住速度我也是這個情形明明上傳沒設定那麼大
可是UT就跑超過了....

這是正常的情形不是中毒..
UT關了就正常了

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ben_chien
青銅驢友

給我錢，其餘免談...

．積分： 200
．文章： 607
．收花： 1252 支
．送花： 101 支
．比例： 0.08
．在線： 478 小時
．瀏覽： 20928 頁
．註冊： 7396 天
．失蹤： 1408 天
．另一個地球〈只有我一個人和 ...

#9 : 2009-1-23 05:00 PM 只看本作者	送花 (0) 送出中...

感謝大家的回文
今天我朋友也在工作地點的電腦掃的一遍，結果一樣有這16個worm跑出來
總計四台電腦，那可能是程式誤判了
不過UT爆這麼大還是第一次發生...
下午上傳開無限制，UT內部顯示大約250上下，使用其他軟體看卻可達300上下的上傳...

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆