Windows: August 2011 Archives

先開命令提示字元視窗(CMD)
netstat -an 看一下 session, 若看到超多 session (超過1000),
Foreign Address 後面都是 :25
那 99% 是中了發送圾垃郵件的木馬,
開機後木馬開始運作, 等 session 都被佔滿了就無法上網.

解決方式:
netstat -anb 看一下是那個執行檔(木馬)在寄 mail,
用 dir/a/s {執行檔名}找出木馬位置,
然後用 unlocker 砍掉, unlocker 會顯示需要重開機,
重開機後應該就會正常了,
木馬的檔名通常會魚目混珠跟系統的程式一樣,
上次處理的 Case 檔名是 winlogon.exe, 正常的 winlogon.exe 在 \windows\system32,
若是在其他位置, 很可能就是木馬.