木馬中毒問題(個人狀態~解決後給予100點)

Question

我女友昨天網路搜尋時下載了不明軟體~

爾後我的卡巴斯基就出現重了病毒~

病毒名稱~

Trojan-Downloader.Win32.Delf.ain

中毒的檔案名稱都是~

hs2viewer.dll

我掃得到但是無法刪除只要採取刪除動作~

就會變成一分鐘後電腦自動關機~

網路知識+搜尋~

聽從指示下載了木馬剋星~還有AVG Anti-Spyware 7.0等等的木馬殺毒軟體還是沒用~

它們倒是掃到原來本身電腦還有其他廣告軟體~

線上用panda掃毒也能掃到但是還是殺不了毒~

聽從知識+其他網友指示~f8的安全模式下直接刪除檔案~

也會出現說檔案列入保護~無法刪除~

很擔心我本身電腦裡面的資源被破壞~

能不能這裡的知識大大們幫忙解決呢^^~
這個問題出現兩天~
目前最新的狀況是~
卡巴現在開機會強制關機~
進入安全模式以後~我整個利用身邊有的掃毒軟體~
重新開機後~
出現一大堆錯誤視窗~
現在最新狀況變成卡巴不能打開即時掃描~
而這台電腦也無法上網~
可以打開連線狀態~不過IE與所有電腦連線的動作都無法動了~
已經搜尋過相當多的知識~
但是都無法解決~
希望這裡有朋友可以"針對性"的給我解決辦法~
若辦法可行~必定想辦法給予100點的點數~
我住在萬華~若個人也可以在不影響電腦本身檔案遺失的情況下~
幫忙掃毒或重灌~也可以接受付費(可議)~

以下各位朋友的方法都有使用~

不過卻也依然無法刪除~

由於付費還是最後手段~

但是這個議題還是希望提供各位一起參考~

所以交付投票~

Answer 1

嗯~根據泥所言~

請直接使用方法 1 & 3 即可解決!

提供正確刪毒參考:
方法1.去
圖片參考：http://www.kaspersky.com.tw/image2004/download.gif
冰島線上掃毒

或
圖片參考：http://www.kaspersky.com.tw/image2004/download.gif
卡巴免安裝版(只有 存 30天 免費 空間!)

如不幸真的中毒後請記錄中毒位置


方法 2. 防木馬間諜 AVG Anti-Spyware7.5.0.50 綠色繁體中文化版(含即時防護)


圖片參考：http://www.kaspersky.com.tw/image2004/download.gif
RS空間下載


圖片參考：http://www.kaspersky.com.tw/image2004/download.gif
ES空間下載
(↑File size: 6629Kb. Downloaded: 331 times )

壓縮包內update.exe為啟動器,umain.exe為更新主程序每次升級後，只要請再輸入注冊碼，即可變為加強版。同時提醒一下，升級需點擊二次。綠色版實行即時監空方法運行目錄下的install.bat安裝、uninstall.bat移除、加右鍵掃描方法運行目錄下的!右鍵設置.bat!右鍵解除.bat。
如沒有中文低話~中文化檔
圖片參考：http://www.kaspersky.com.tw/image2004/download.gif
http://w10.easy-share.com/667209.html
將 chinese.mo 繁體中文化文件 copy到 你解壓縮的AVG的Translations目錄內再工作欄右下角AVG圖示按右鍵選Chinese就是繁體中文版


方法3.關閉系統還原~重開機後請於安全模式(F8)下執行!

清除木馬推薦
去找費爾強力殺毒工具~
使用 powerrmv 找到病毒


位置如:C:＼WINDOWS＼*.*(不幸中木馬位置)
→仰制檔案再次生成也勾選


→將其殺掉即可!

圖片參考：http://tw.yimg.com/i/tw/blog/smiley/14.gif

費爾強力殺毒工具

方法 4.
圖片參考：http://tw.yimg.com/i/tw/blog/smiley/36.gif








如何進入安全模式?補充可使用以下軟體









文章:在電腦開機時等硬體測試畫面跑結束時開始按 F8 就會出現開機選單，您只要利用上/下方向鍵移動到安全模式選項後再按下 Enter 鍵就可以了，


提供另外的方法！

您可以試試這個軟體看看 - BootSafe

BootSafe 是一個免費且免安裝的小程式，使你不用和你的電腦賽跑按『 F8』進入安全模式，你只要很方便的在界面上打勾按下重啟(Reboot)，便自動地進入安全模式中！

但要注意的是，請牢記此小程式的放置路徑。因為你進入安全模式後還要用這個小程式的正常啟動項目才能正常重新啟動你的電腦，否則無論你啟動多少次都仍然會逗留在安全模式中！


圖片參考：http://www.kaspersky.com.tw/image2004/download.gif
下載 BootSafe 中文化版



圖片參考：http://i1.tinypic.com/206hgsw.jpg



2007-02-10 14:56:21 補充：
嗯~因而不能上網~可以請別人幫泥下載費爾強力殺毒使用隨身碟複製,使用 powerrmv 找到病毒位置如:C:＼WINDOWS＼*.*(不幸中木馬位置)→仰制檔案再次生成也勾選→將其殺掉即可!

Answer 2

Tony ( 初學者 5 級 )<-- 我不認識這傢伙...

不過我建議先試他的...

不然...

去求救...

中華民國網路安全自治學會-----歡迎您的加入

Answer 3

作業系統先下載再安裝更新檔，沒更新的話可能會中一些像殺手或疾風病毒之類的。

再用卡巴斯基掃看看，掃不掉再用unlocker1.8.5版砍中毒的檔案(這軟體是專砍使用中的檔案)。

之前我也是中了類似會重開機的病毒，後來更新XP到最新的修正檔就好了，再掃的話就可以掃到大部份中毒檔。

Answer 4

你好
我昨天也有這個問題
不過我已經解決了

請參考下列網站(內容為簡體)
http://www.ljack.com.cn/post/249.html
http://www.ljack.com.cn/post/107.html

裡面雖然說是hs4viewer.dll
但是我還是照著步驟
因為跟hs2viewer.dll很像

解決它需要兩個程式
LSPFix.exe
http://www.ljack.com.cn/uploads/LSPfix.rar

winsockxpfix.exe (不能上網就用這個)
http://www.winsockfix.nl/winsockxpfix.exe

步驟開始前一定要先準備好上面兩個東西喔
步驟一當然是先停用網路
我一開始是關不掉
不過我直接把網路電源關了

步驟二就使用LSPFix.exe
使用方法網頁有寫
它寫的蠻詳細的
我就不寫了

步驟三就可以使用winsockxpfix.exe來修復網路囉

其實我一開始就有在C:\WINDOWS\system32看到hs2viewer.dll的
蹤跡，不過因為之前有用卡巴刪掉，可是卻變成不能登入桌面，
害的我要重灌xp，所以我沒有動手砍它，不過再上面的步驟結束後，我就先把它壓縮起來，等幾天後沒問題我再砍暴它^^

希望能解決你的問題

2007-02-12 11:52:23 補充：
我覺得市面的防毒軟體實在是....
大家都提倡使用正版
說到底只是想要消費者掏腰包
可是實用性到底如何?花了錢才知道

Answer 5

試試看底下好用的殺毒方法:
[手動刪除病毒]
步驟如下:
(1) 清除暫存檔案 : Windows Temp 資料夾或 IE 暫存資料夾中的病毒檔案可能因系統正在使用中而無法清除，
且因這些資料夾中的檔案是 Windows 運作中產生的暫存檔，所以請依下列步驟刪除病毒檔案。
a. 開啟IE > 工具 > 網際網路選項 > 一般 ，在中間 Temporary Internet File 內按下 "刪除檔案"，
勾選 "刪除所有離線內容"然後按確定。
b. 在開始 > 程式集(所有程式) > 附屬應用程式 > 系統工具 中，選擇 "清理磁碟"將所有磁碟的資料清除。

(2) 關閉XP 系統還原 : 某些病毒藏匿在此，會隨著系統還原又恢復檔案，在
開始 > 所有程式 > 附屬應用程式 > 系統工具 中，選擇 "系統還原"，關閉系統還原。

(3) 重開機在安全模式下掃毒 : 正在執行的程式，系統會阻擋防毒軟體刪除檔案，
可在重開機時按 "F8"選擇安全模式下做掃毒。

[木馬清除軟體]
<----- 強力推薦
軟體介紹:
SpyRemover 是一個可以專門為清除悄悄安裝在你的電腦裏的間諜程式而設計的一個電腦網路安全工具。
它可以幫助你快速的在系統元件中搜索已知的間諜程式的蹤跡，並可以幫助你安全的清除他重新全面保護你的網路安全
下載試用: 擇一下載
http://www.92sn.com/download.asp?id=1494&dp=1
先執行eithel檔註冊後再掃毒
http://www.piaodown.com/down/down.asp?id=7359&no=2
先執行註冊後再掃毒

<----- 推薦
軟體介紹:
http://www.pctools.com/zh/spyware-doctor/
易於使用
Spyware Doctor 採用的先進技術特別適合於一般大眾（而非電腦專家）。
它可以自動配置，只需有限的用戶互動即可獲得由間諜軟體提供的全面防護功能。
只需點按幾下滑鼠就可以得到保護！
偵測和刪除所有類型的間諜軟體。
Spyware Doctor 的先進更新功能可供每日不斷地提高對間諜軟體的防護能力。
當間諜軟體試圖避開其他反間諜程式的偵測時，Spyware Doctor 的回應技術可以領先一步發現間諜軟體隱藏的有害威脅。
最佳的間諜軟體防護程式。擁有全球數百萬用戶 Spyware Doctor 的下載次數已超過 5 千萬次，
每週的下載次數超過百萬。它持續地保護全球數以百萬消費者的身份資訊與 PC 安全。
下載試用:
http://www.pctools.com/downloads/sdstart.exe

Answer 6

回 答：


如 果 用【掃 毒 或 防 毒 軟 體 】殺 不 掉 病 毒 ，


就 試 試 我 提 供 給 你 的 下 列 方 法 吧！


★ 說 明︰


病 毒、間 碟 程 式 或 其 他 網 路 威 脅 無 法 被 刪 除，
是 因 為 【 病 毒 檔 】會 和 你 的 電 腦 【 系 統 檔 】 連 結，
當 你 啟 動 電 腦 時，
病 毒 檔 就 會 跟 著【 系 統 檔 案 】連 結 運 作。
掃 毒 或 防 毒 軟 體 對 於 運 作 中 的 檔 案 是 無 法 刪 除 的！

尤 其 是 系 統 中 的 .dll 或 .exe


因 此，如 果 想 要 刪 除 病 毒，就 必 須 先 解 除 病 毒 與 電 腦 系 統 檔 的 連 結！


★ Unlocker － 解 除 佔 用 檔 案 又 無 法 刪 除 的 程 式 ★


下 載︰
http://home.kimo.com.tw/veronica_20060322/Aa_00001index.html


★ 使 用 程 序 說 明︰


01︰利 用【 掃 毒 軟 體 】找 到 病 毒 的 所 在 位 置。


如 果 你 沒 有 安 裝 防 毒 軟 體，就 暫 時 使 用 線 上 掃 毒！


★★★ 卡 巴 斯 基 免 費 線 上 病 毒 掃 描︰★★★
http://www.kaspersky.com.tw/virusscanner/



02︰ 找 到 病 毒 後，對 著 病 毒 檔 案 【 按 下 右 鍵 】，此 時 會 出 現 【 對 話 方 塊 】選 單。


03︰在 選 單 中 選 取【 Unlocker 】，此 時 【 Unlocker 】會 出 現 【 對 話 方 塊 】選 單。


04︰在 Unlocker 的 選 單 中 選 取【 全 部 解 鎖 】。


05︰解 鎖 的 動 作 完 成 。



當 你 完 成 上 述 的 【 解 除 連 結 】步 驟 後，
接 著 就 是【 刪 除 病 毒 】了 唷 ！


★ Pocket KillBox：幫 你 砍 掉 惱 人 難 刪 的 檔 案 ★


下 載︰
http://home.kimo.com.tw/veronica_20060322/Aa_00002index.html
( 軟 體 語 系：英 文 )


相 信 不 少 朋 友 都 曾 遇 過 某 些 檔 案 怎 麼 砍 也 砍 不 掉 的 狀 況，


尤 其 是 中 了 病 毒 或 木 馬 的 檔 案 最 容 易 有 這 種 情 形，


在 束 手 無 策 的 當 下 真 的 會 讓 人 急 瘋 ！


別 怕，
只 要 有 了 Pocket KillBox，你 就 可 以 輕 輕 鬆 鬆 的 刪 掉 這 些 檔 案 了！



★ 使 用 程 序 說 明︰


雖 然 本 軟 體 為 【 英 文 語 系】，但 是 它 的 操 作 介 面 十 分 的 具 有 親 和 力！


只 要 把 檔 案 位 置 寫 在 Pocket KillBox 裡 的 長 方 形 空 白 處，
或 是 複 製 檔 案 位 置，直 接 貼 上 也 可 以！


然 後 再 按 下 右 邊 【 圓 形 紅 色 】的 X 圖 形 ，
接 下 來 就 會 出 現 中 文 的 對 話 方 塊，
然 後 照 著 他 的 對 話 方 塊 指 示 操 作 即 可！


以 上 軟 體 是 互 輔 性 軟 體，
搭 配【 防 毒 軟 體 】使 用，
無 往 不 利；所 向 無 敵！



★★★ 如 果 覺 得〔文 字 解 說 〕看 不 太 懂！★★★


沒 關 係！


煩 請 進 入 下 列 網 址，並 按 照 網 頁 裡 的 ( 圖 解 ) 步 驟 操 作！


http://home.kimo.com.tw/veronica_20060322/Yahoo_knowledge/Complex/001/How_001index.html



網 頁 裡 的 教 學，
會 從 頭 到 尾 的 教 導 你 如 何 找 到 病 毒，
如 何 將 病 毒 連 根 拔 除 永 絕 後 患！


你 只 需 一 步 一 步 的 按 照 圖 片 說 明 操 作 就 可 以 了 唷！


※ 上 列 的 網 址，是 我 的 家 族 自 製 的 網 頁，請 安 心 的 進 入 觀 看！

Answer 7

Trojan-Downloader.Win32.Delf.ain原文網址，請無論如何先複製網址進入參閱：
http://www.symantec.com/security_response/writeup.jsp?docid=2004-102815-4051-99&tabid=1
http://www.symantec.com/security_response/writeup.jsp?docid=2004-102815-4051-99&tabid=2
http://www.symantec.com/security_response/writeup.jsp?docid=2004-102815-4051-99&tabid=3

Trojan-Downloader.Win32.Delf.ain (卡巴斯基實驗室)
它家防毒名稱：
Backdoor.Singu.B (Symantec),
BackDoor.Singu (Doctor Web),
BDS/Singu.AF (H+BEDV),
BackDoor.Generic.QTP (Grisoft),
GenPack:Backdoor.Singu.O (SOFTWIN),
Win32/BlackHole (Eset)
發現: 2004 年10月28 日
更新: 2007 年1月28 日上午10:13:27
亦稱: Backdoor.Win32.Singu.t [ KasperBackDoor-CGX [ McAfee ],
型態: 電腦程式內的病毒
1.當Backdoor.Singu.B 被執行, 它進行以下行動 : 複製作為%System%\diskcheck.exe
注: %System% 是提到系統文件夾的可變物。
這是C:\Windows\System (Window 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或C:\Windows\System32 (Windows XP)
2.創造以下文件:%System%\diskcheck.dll
哪些被注射入探險家過程掩藏特洛伊人。
3.增加價值:"Windows(任意字符)" = "%System%\diskcheck.exe"
對登錄編輯器修改 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \policies\explorer\Run 以便讓Backdoor.Singu.B 於每次的Windows開機時來啟動它.
4.送一個HTTP請求, 使用連續TCP PORT從1040以上, 到crsky2004.yeah.net

請您於要刪除這份文件時,於安全模式內將防毒系統啟動來掃描整個系統中有任何關於病毒位置與文件之處予於記錄與刪除.

當您欲使用登錄編輯器來修改或刪除任何文件時,為防萬一,請預留備份檔案.
F8模式:
刪除這個附加的文件:
開始>執行> regedit>Enter>於登錄編輯器上輸入 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
policies\explorer\Run 然後選擇正確視窗中的 "Windows(任意字符) = %System%\diskcheck.exe"
退出登錄編輯。

願您順心如意

Answer 8

如果你接受付費
我給你我的Email: cerita.hung.1979@yahoo.com.tw
或是 ericmok10@msn.com
我會採取重灌
但會把您要的資料完整救出
而在其他的電腦上掃讀您的電腦.
確認您的資料已安全無虞後.
再格式化與重灌您原本的硬碟. 而後把您的重要資料安置回去

其細節請來信告知聯絡您的方式.

(到府收送/維修/安裝)

2007-02-10 01:21:56 補充：
"而在其他的電腦上掃讀您的電腦."這句打錯ㄌ.
是在其他的電腦掃毒我們所預先備份/ 救出來出來的DATA.

Answer 9

我也跟你一樣中過一樣的毒,不過只要刪掉以後重新開機

又會跑出一樣的檔案,我用安全模式也刪不掉

結果只有重灌嚕....這是最好的方法