我中了這個病毒Trojan-Downloader.Win32

Question

我中了這個病毒我不知道如何清除這個病毒木馬程式 Trojan-Downloader.Win32.Cryptic.bd 被感染的檔案: C:\\WINDOWS\\system32\\wdfmgr32.exe而且被感染的檔案在system32資料夾裡我不敢亂刪這個資料夾的檔案我上次刪到一個檔案結果不能開機結果重灌800每次開機都會出現svchost.exe-應用程式錯誤我的IE開啟首頁就會變這樣aboutblank拜託告訴我該如何清除Trojan-Downloader.Win32這個病毒如果這個病毒不清除電腦撐的了一年嗎?

Answer 1

這個木馬 (Trojan-Downloader.Win32.Cryptic.bd ) 在您電腦第一次執行時，會在 C:\WINDOWS\system32\ 資料夾下產生一個 wdfmgr32.exe 檔案，並且會新增一個 windows 登錄 (Registry) 機碼，讓您的電腦每次在開機時會執行 wdfmgr32.exe 。

移除方式：

1. 編輯 windows 登錄檔 ( 開始 >> 執行 >> 輸入 regedit )

2. 找到 HKEY_LOCAL_MACHINE >> SOFTWARE >> Microsoft >> Windows >>
CurrentVersion >> Run。

3. 在 Run 之下 將 wdfmgr32.exe(C:\WINDOWS\system32\wdfmgr32.exe)這一隻機碼刪除。

4. 重新開機

5. 在 C:\WINDOWS\system32 資料夾下，刪除 wdfmgr32 檔 。

6. 重新開機檢查木馬是否已被刪除。

Answer 2

請於安全模式下將這個檔案移除。
再請朋友將其正常電腦中之C:/WINDOWS/SYSTEM/SVCHOST.EXE這個應用程式寄過來給您並置於桌面上後關機.
重新開機需於[F8]之安全模式下將SVCHOST這個應用程式覆蓋在C:/WINDOWS/SYSTEM/SVCHOST.EXE,就關機再正常開機就OK了.

Answer 3

您好喔～總之是關於您電腦的記憶體，如果要設定虛擬記憶體大小，通常是兩倍左右，您可以在我的電腦上按右鍵選內容，然後效能，虛擬記憶體，裡面就可以調校囉！您的記憶體如果是512MB，通常會把它條成1024MB也就是1GB然後確定後重新開機，就可以囉！雖然是這樣說，但是偶爾還是會出現這是XP的Bug，看到按確定就是了～別擔心^ ^給您參考看看～ 歡 迎 加 入 ↓招募副會長１名＆製圖會長１名↓～。紫禁風暴ΚΟΝΕの夢工坊。～網址：http://tw.club.yahoo.com/clubs/K1_/＊。紫禁風暴Ｋｏｎｅ專屬夢工坊〃║＊。第一名跨國際夢工坊Ｋｏｎｅ〃║

Answer 4

1. 冰河v1.1 v2.2這是國產最好的木馬 作者：黃鑫清除木馬v1.1打開注冊表Regedit點擊目錄至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run查找以下的兩個路徑，並刪除" C:\windows\system\ kernel32.exe"" C:\windows\system\ sysexplr.exe"關閉Regedit重新啟動到MSDOS方式刪除C:\windows\system\ kernel32.exe和C:\windows\system\ sysexplr.exe木馬程序重新啟動。OK清除木馬v2.2服務器程序、路徑用戶是i以隨意定義，寫入注冊表的鍵名也可以自己定義。因此，不能明確說明。你可以察看注冊表，把可疑的文件路徑刪除。重新啟動到MSDOS方式刪除於注冊表相對應的木馬程序重新啟動Windows。OK2. Acid Battery v1.0清除木馬的步驟：打開注冊表Regedit點擊目錄至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除右邊的Explorer ="C:\WINDOWS\expiorer.exe"關閉Regedit重新啟動到MSDOS方式刪除c:\windows\expiorer.exe木馬程序注意：不要刪除正確的ExpLorer.exe程序，它們之間只有i與L的差別。重新啟動。OK3. Acid Shiver v1.0 + 1.0Mod + lmacid清除木馬的步驟：重新啟動到MSDOS方式刪除C:\windows\MSGSVR16.EXE然后回到Windows系統打開注冊表Regedit點擊目錄至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices刪除右邊的Explorer = "C:\WINDOWS\MSGSVR16.EXE"關閉Regedit重新啟動。OK重新啟動到MSDOS方式刪除C:\windows\wintour.exe然后回到Windows系統打開注冊表Regedit點擊目錄至：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices刪除右邊的Wintour = "C:\WINDOWS\WINTOUR.EXE"關閉Regedit重新啟動。

Answer 5

謝謝大炳...

Answer 6

黑金兄你太抬舉我了- -"還po我的文章...

不過他的情況因該是系統受損了...要修復不如重灌來的快速

Answer 7

鏡花水月大大的方式有用...我也是在再找移除的方式..我的防毒卡巴50385版...不過最後一步我是在C:\WINNT\system32裡面找到的...從開兩次之後...就沒那病毒了..該死的大陸仔......

Answer 8

http://tw.knowledge.yahoo.com/question/?qid=1206103012679
參考看看

Answer 9

電腦已隔離 TrojanDropper.Delf.NBX trojan 及 wdfmgr32.exe發生問題

http://hk.knowledge.yahoo.com/
question/?qid=7006081701315

針對你遇到的問題負點責任吧

下關鍵字後按搜尋......瞧解藥出來了

這就是你不知道如何解決,求問他人的結果？

用點心來解決你自己的問題吧！！

Answer 10

你好:
這不是什麼大問題~~~
先去開始=>我的電腦=>右鍵=>系統還原=>關閉所有系統還原=>打勾=確定=>
重新開機=>狂按F8進入安全模式=>
開始=執行=>輸入regedit=>上方有個編輯=>尋找=>輸入病毒的名稱(像你就打wdfmgr32.exe)=>它會找出它的位置(在右方會反藍)=>直接刪除即可

再來使用下面這一套(一樣在安全模式)

手動使用費爾木馬強力清除助手(免費)

下載點:http://dl.filseclab.com/down/powerrmv.zip

把中毒檔案強制刪除

解壓縮 PowerRmv.zip 到一個資料夾，然後執行資料夾中的 PowerRmv.exe


你先打入中毒的檔案位置(如你的情況~c:\windows\system32\wdfmgr.exe)(按右邊「...」瀏覽)，

還要記得　勾選「抑制檔案再次生成」，

再按「清除」，

然後一開始會問你要不要通知費爾安全實驗室此病毒，

選「否」，

接下來還會出現一個視窗，

按「是」，

此時檔案應該會被刪掉了。


PS:此程式會留下一個資料夾在該路徑，這是正常的，不用刪除。

如果還是不行~再來信研究!!

2006-11-15 00:56:50 補充：
不過svchost.exe這是一個遠端登錄程式~系統中很多跟port23的東西都要用到它喔!不能確定的是它是單一的遠端存取or跟系統共用了這一類的木馬是最討厭的~~如果把它刪了而它的又機碼跟system串在一起的話有可能系統會無法正常執行喔!!!!不過donloader不刪又不行~~它會上傳你的記錄到指定的網址中~~真的很不妙也~~~反正先刪了再看看吧!!