我中了名稱trojan horse的毒
因為毒是在QQ裡所以把QQ整個移除,然後直接在安全模式下用norton查過毒殺掉之前移除不了的中毒檔案
重新正常開機後發現毒檔不見了,norton也沒再跳警告視窗出來,但是網路連線那裡顯示傳送封包還是比接收大@@
線上掃毒的ewido-anti spyware也查不到啊...
本來以為是之前到安全模式前沒將磁碟系統還原關閉,所以將之關閉後再去安全模式查一次,但是norton,nod32和ad-aware都查不到毒啊@@
請問我究竟該怎麼辦?
2007-02-09 16:28:16 · 2 個解答 · 發問者 ? 2 in 電腦與網際網路 ➔ 軟體
以現在來說,我已連線了2個小時出頭,傳送封包為1萬4千7左右,接收封包為1萬6千4左右
現在封包是接收較大沒錯,我也沒開msn等任何程序,但我之前有使用kaspersky線上掃毒(第一次使用,還安裝了控制列等等),還有查了很多殺木馬的網頁,接收數量本來就會比較大,但傳送量是否有問題@@
像我剛開機還未開啟網頁時,傳送量比接收量大,而且從開始到現在都是5,6秒左右傳送封包就會增加各位數或十位數出頭...
請問這樣...是否毒還在...但我連kaspersky線上掃毒也什麼都沒掃到...
2007-02-09 18:29:45 · update #1
嗯~根據泥所言~
請直接使用方法 2 & 3 即可解決!
提供正確刪毒參考:
方法1.去
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
冰島線上掃毒
或
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
卡巴免安裝版(只有 存 30天 免費 空間!)
如不幸真的中毒後請記錄中毒位置
方法 2. 防木馬間諜 AVG Anti-Spyware7.5.0.50 綠色繁體中文化版(含即時防護)
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
RS空間下載
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
ES空間下載
(↑File size: 6629Kb. Downloaded: 331 times )
壓縮包內update.exe為啟動器,umain.exe為更新主程序每次升級後,只要請再輸入注冊碼,即可變為加強版。同時提醒一下,升級需點擊二次。綠色版實行即時監空方法運行目錄下的install.bat安裝、uninstall.bat移除、加右鍵掃描方法運行目錄下的!右鍵設置.bat!右鍵解除.bat。
如沒有中文低話~中文化檔
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
http://w10.easy-share.com/667209.html
將 chinese.mo 繁體中文化文件 copy到 你解壓縮的AVG的Translations目錄內再工作欄右下角AVG圖示按右鍵選Chinese就是繁體中文版
方法3.關閉系統還原~重開機後請於安全模式(F8)下執行!
清除木馬推薦
去找費爾強力殺毒工具~
使用 powerrmv 找到病毒
位置如:C:\WINDOWS\*.*(不幸中木馬位置)
→仰制檔案再次生成也勾選
→將其殺掉即可!
圖片參考:http://tw.yimg.com/i/tw/blog/smiley/14.gif
費爾強力殺毒工具
方法 4.
圖片參考:http://tw.yimg.com/i/tw/blog/smiley/36.gif
如何進入安全模式?補充可使用以下軟體
引用回答者:
卍 一笑郎 卍
文章:在電腦開機時等硬體測試畫面跑結束時開始按 F8 就會出現開機選單,您只要利用上/下方向鍵移動到安全模式選項後再按下 Enter 鍵就可以了,
提供另外的方法!
您可以試試這個軟體看看 - BootSafe
BootSafe 是一個免費且免安裝的小程式,使你不用和你的電腦賽跑按『 F8』進入安全模式,你只要很方便的在界面上打勾按下重啟(Reboot),便自動地進入安全模式中!
但要注意的是,請牢記此小程式的放置路徑。因為你進入安全模式後還要用這個小程式的正常啟動項目才能正常重新啟動你的電腦,否則無論你啟動多少次都仍然會逗留在安全模式中!
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
下載 BootSafe 中文化版
圖片參考:http://i1.tinypic.com/206hgsw.jpg
2007-02-09 18:40:40 · answer #1 · answered by 阿昇 7 · 0⤊ 0⤋
這是依版大所寫出之病毒名稱查察賽門鐵克防毒軟體所殺這隻病毒之方式。
請版大再次針對最下面之網址複製後查看,另還有一隻變種病毒,礙於文字之數量限制無法全部貼出,請版大自行複製網址進入查殺變種病毒。
發現: 2006 年11月30 日
更新: 2007 年1月28 日上午10:33:28
型態: 電腦程式內的病毒
1.當Trojan.Horst 被執行, 它進行以下行動 : 拷貝對以下地點:
%System%\smss.exe
注: %System% 是提到系統文件夾的可變物。這是C:\Windows\System (Window 95/98/Me), C:\Winnt\System32 (Window NT/2000), 或C:\Windows\System32 (Windows XP) 。
2.5月下載以下文件 : %System%\nvsvcd.exe
3.增加價值 : "nvsvc" = "%System%\smss.exe /w"
對登記 subkey : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
以便它執行每當Window開機時可以啟動。
4.增加價值 : "%System%\svchost.exe" = "%System%\svchost.exe:*:Enabled:Microsoft 更新"
對登記subkey : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List以便它可能繞過windows防火牆。
5.企圖結束以下服務與antivirus 和防火牆有關:
kavsvc
KAVPersonal50
nava
SAVScan
Symantec 核心LC
wscsvc
wuauserv
6.創造一個過程被命名SVCHOST.EXE 和然後注射它的代碼入處理記憶掩藏自己。
7.打開一個後門和允許一個遙遠的攻擊者得以進入對妥協的電腦的未批准的和工作當中轉代理人。
8.5月聯絡以下遠程主機 : 216.255.189.85 : in.lorenim.com :rv.rozenan.com : sys.medarun.com
從執行登錄器上進行刪除 : 強烈推薦, 您在登錄檔編輯器上在做對它的些變動之前。對登錄的不正確變動可能導致永久資料損失或訛誤文件。請先備好備份
1.開始
2.執行
3.鍵入> regedit>Enter>
[注 : 如果登錄編輯有打不開的威脅,也許它已修改登錄防止對登錄編輯的通入。安全反應發展一個工具解決這個問題。下載和執行這個工具(http://203.84.199.31/language/translatedPage?lp=en_zt&.intl=tw&tt=url&text=http%3a%2f%2fsecurityresponse.symantec.com%2favcenter%2fvenc%2fdata%2ftool.to.reset.shellopencommand.registry.keys.html) , 然後繼續通過刪除。]
4.寫入對subkey : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5.在正確的視窗中, 刪除其值 : "nvsvc" = "%System%\smss.exe /w"
6.輸入對subkey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
7.在正確的視窗 , 刪除其值 : "%System%\svchost.exe" = "%System%\svchost.exe:*:Enabled:Microsoft 更新"
8.退出登錄編輯器
2007-02-09 23:37:28 補充:
[參考資料:賽門鐵克Symantec AntiVirus]Trojan.Horst風險級別1: 非常低。參考頁址:http://www.symantec.com/security_response/writeup.jsp?docid=2006-113015-3846-99&tabid=1[共有3頁]
2007-02-09 23:38:01 補充:
另有也針對這隻trojan horse變種病毒的查殺動作:
更新: 2007 年1月28 日上午10:06:59
型: 電腦程式內的病毒
傳染長度: 變種
http://www.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99&tabid=1[共有3頁]
2007-02-12 23:28:20 補充:
以我今天連線狀態而言,15小時又15分鐘,傳送十萬左右,接收十一萬一,駭客入侵六次,每天下線前卡巴掃描電腦一次,半途就用微軟惡意軟體移除程式細部掃瞄電腦一次,這兩種掃描時間都差不多,將近40分鐘,總檔案量11萬左右。有了卡巴斯基防毒軟體只要不亂下載、不亂逛網!一般都沒事的啦。即使是下載一些東西物件下來置於桌面必也先用卡巴掃描一下比較安心。這種變種的木馬+蠕蟲之後門病毒程式已不是任何防毒軟體可以掃瞄出來的,因為它早已經隱藏於正常檔案資料夾下面了,除非於安全模式中進行掃瞄動作再進行刪除以外,已無任何方法可試了。即使重灌,還是會再出現的。故請多加小心。
2007-02-09 18:34:39 · answer #2 · answered by 自在 7 · 0⤊ 0⤋