1. 叙述问题
学校研究室最近一直被学校断网,短暂封锁ip
网页告知我们疑似有追扫描攻击
因此短暂短线,连结port部分没记下来
连结数从80几到200不等
由于是使用网络分享器,故lab里面有联网的人都有嫌疑
因此就采取一台一台连入分享器的方式测试哪台电脑有问题
结果某一台电脑连上去,瞬间网速掉下来,没多久就被学校封锁了
将那台电脑断网后马上进行重灌作业
过了一个六日想说没事了
结果原本在排除名单内的电脑连上网后马上断线,又被学校锁ip了,这是第二台
瞬间觉得无言
而其中一台电脑的主人担心中奖,也已经自行重灌了
结果今天中午他连学校的共用网络,(要学生身分登入)
又被学校锁ip…第三台
这次更妙了…
他不是连lab的分享器,是连学校共用网络
而且才刚重灌过
搞的目前一个头两个大
路由器也换了一台
这感觉好像arp攻击,但又好像不太像
第三台重灌后的电脑中,我觉得可疑安装软件有两个
一个是kmp player,前科不少
另一个是 avast 2015
有用avast的应该都知道2015实在是不少bug
不知道现在是什么状况
上礼拜发现第一台重灌的电脑
有用快速格式化后重灌了
目前安装校内提供的卡巴斯基防毒软件
kmp player尚未安装
而这台电脑的苦主其实就是我
现在只要网络一不稳定就搞得我神经兮兮的…
重灌后还有病毒实在是非常不合理
希望就是kmp的问题,已经删除观望中
如果不是它的问题就太令人崩溃了
2. 系统资料:
系统:win7,win8.1都有
防毒:avast 2015 ,小红伞
3. 分析报告:
多台电脑无法提供
每台电脑防毒都有执行完全扫描,什么都没找到
第一台在重灌前夕,有用avast扫出两个高度危害的病毒,但因重灌资料流失
重灌后用卡巴斯基endpoint security 10
全机扫描,什么都没扫到