1. 敘述問題
學校研究室最近一直被學校斷網,短暫封鎖ip
網頁告知我們疑似有追掃描攻擊
因此短暫短線,連結port部分沒記下來
連結數從80幾到200不等
由於是使用網路分享器,故lab裡面有聯網的人都有嫌疑
因此就採取一台一台連入分享器的方式測試哪台電腦有問題
結果某一台電腦連上去,瞬間網速掉下來,沒多久就被學校封鎖了
將那台電腦斷網後馬上進行重灌作業
過了一個六日想說沒事了
結果原本在排除名單內的電腦連上網後馬上斷線,又被學校鎖ip了,這是第二台
瞬間覺得無言
而其中一台電腦的主人擔心中獎,也已經自行重灌了
結果今天中午他連學校的共用網路,(要學生身分登入)
又被學校鎖ip…第三台
這次更妙了…
他不是連lab的分享器,是連學校共用網路
而且才剛重灌過
搞的目前一個頭兩個大
路由器也換了一台
這感覺好像arp攻擊,但又好像不太像
第三台重灌後的電腦中,我覺得可疑安裝軟體有兩個
一個是kmp player,前科不少
另一個是 avast 2015
有用avast的應該都知道2015實在是不少bug
不知道現在是什麼狀況
上禮拜發現第一台重灌的電腦
有用快速格式化後重灌了
目前安裝校內提供的卡巴斯基防毒軟體
kmp player尚未安裝
而這台電腦的苦主其實就是我
現在只要網路一不穩定就搞得我神經兮兮的…
重灌後還有病毒實在是非常不合理
希望就是kmp的問題,已經刪除觀望中
如果不是它的問題就太令人崩潰了
2. 系統資料:
系統:win7,win8.1都有
防毒:avast 2015 ,小紅傘
3. 分析報告:
多台電腦無法提供
每台電腦防毒都有執行完全掃描,什麼都沒找到
第一台在重灌前夕,有用avast掃出兩個高度危害的病毒,但因重灌資料流失
重灌後用卡巴斯基endpoint security 10
全機掃描,什麼都沒掃到