電腦裡有中木馬病毒殺不掉,在svchost.exe及service.exe兩個執行模組裡每次開機都會有,請問有什麼辦法能不用重灌系統就能解決的嗎?
2007-02-27 16:51:51 · 3 個解答 · 發問者 啊銘 1 in 電腦與網際網路 ➔ 軟體
系統安全的基礎是使用者的習慣問題:要提升電腦防毒功能,定期做系統更新,修補系統漏洞且經常更新病毒碼與系統安全修正 。 安裝防毒軟體、防火牆及防間諜軟體,定期更新升級,才可以在「病毒、木馬滿天飛」的網路環境中確保安全。 不要手賤:像是胡亂下載、亂開信件附件、該掃毒的不掃、亂逛網站、隨意安裝或執行不明來源的檔案。 預先製作系統還原備份,以備萬一。 定期清理暫存檔案、垃圾檔案。 做到以上幾點,想中毒都難。
推薦下載安裝下列軟體,加強你的電腦對木馬防護!
軟體名稱:AVG Anti-Spyware(強大的木馬查殺軟体)
授權類型:共享軟體 (到期後可繼續手動更新)
支援語系:英文(有中文化可提供)
官方網站:http://www.ewido.net/
官網下載:http://downloads.grisoft.cz/softw/70/filedir/inst/avgas-setup-7.5.0.50.exe
安裝時在語言部份請先點選(English)
中文化下載請至下列的網頁:
http://w10.easy-share.com/667209.html
(位置:File size:74Kb.Downloaded:406 times)
繁體中文語系安裝法,將Chinese.mo檔放置到C:Program FilesGrisoftAntispywareTranslation資料夾中
回到桌面右下方啟動工作列會看到圖示>右鍵>會看到Language>Chinese>點它>之後就可以改成中文化了。
安裝完成後>請先立即更新>更新時如果它告訴你錯誤
多點幾次即可>接著就可(完整掃瞄)你的系統囉!!
至此~有可能您所有的木馬都被捉到了!再移除它!
也可以搭配著使用,Ewido線上惡意軟體掃瞄:定期掃描移除。
http://www.ewido.net/en/onlinescan/
上面的網站能把木馬坎掉,使用方法(打開網頁):安裝ActiveX => 安裝好之後,等它更新病毒碼(約等幾分鐘) =>出現掃瞄視窗按"Start Scan" =>開始掃描 =>完畢按 "RemoveInfections" 刪除木馬 =>關閉網頁即可囉!
2007-02-27 17:26:57 · answer #1 · answered by S 4 · 0⤊ 0⤋
很明顯的, Blaster 的變種 - Welcha, 去下載清除工具吧。
執行完整系統掃描。
如果偵測到任何受 W32.Welchia.Worm 感染的檔案,請按下「刪除」。
當 W32.Welchia.Worm 執行時,它會執行下列動作:
將自身複製到:
%System%\Wins\Dllhost.exe
注意:%System% 代表變數。病蟲會找到 System 資料夾並將自己複製過去。預設的位置是 C:\Winnt\System32 (Windows 2000) 或 C:\Windows\System32 (Windows XP)。
複製 %System%\Dllcache\Tftpd.exe 檔成為 %System%\Wins\svchost.exe 檔。
注意:Svchost.exe 是一種合法程式並非惡意程式,因此,賽門鐵克防毒產品無法偵測到它。
新增下列子鍵:
RpcPatch
與
RpcTftpd
至登錄鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
建立下列服務:
服務名稱:RpcTftpd
服務顯示名稱:網路連線共享
服務二進位檔:%System%\wins\svchost.exe
此服務將設定為手動啟動。
服務名稱:RpcPatch
服務顯示名稱:WINS Client
服務二進位檔:%System%\wins\dllhost.exe
此服務將設定為自動啟動。
結束 Msblast 的程序,然後刪除由 W32.Blaster.Worm 病蟲所留下的 %System%\msblast.exe 檔。
此病蟲會使用兩種不同的方式來選取受害者的 IP 位址。它會從受感染機器的IP (A.B.C.D) 中使用 A.B.0.0 並往上累加,或者根據某些內建的位址來隨機建立 IP 位址。當選定開始位址後,它會在類別 C 網路的位址範圍內往上累加。例如,若從 A.B.0.0 開始,它將往上累加到至少 A.B.255.255。
此病蟲將傳送 ICMP 回應或 PING 來檢查所建立的 IP 位址是否為網路上啟用中的機器。
一旦病蟲辨識出此位址屬於網路上啟用中的機器,它將傳送資料至 TCP 埠號 135 以探測 DCOM RPC 弱點,或者傳送資料至 TCP 埠號 80 以探測 WebDav 弱點。
在受入侵的主機上建立一個遠端 shell,然後透過 666 至 765 之間的隨機 TCP 埠號連接回發動攻擊的電腦以接收指示。
在發動攻擊的機器上啟動 TFTP 伺服器,然後指示受害的機器連接至攻擊的機器並下載 Dllhost.exe 及 Svchost.exe。如果 %System%\dllcache\tftpd.exe 檔存在,則病蟲可能不會下載 svchost.exe。
檢查電腦的作業系統版本、Service Pack 號碼以及「系統地區設定」,然後試圖連接至 Microsoft 的 Windows Update 網站並下載適當的 DCOM RPC 弱點更新檔。
一旦更新檔下載完成並加以執行後,此病蟲將重新啟動電腦以完成安裝更新檔。
檢查電腦的系統日期。如果年份為 2004 年,此病蟲將停用並自我移除。
恢復對登錄所做的變更
注意:對系統登錄進行任何修改之前,賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯,嚴重時將會導致資料遺失或檔案受損。只修改指定的登錄鍵。如需詳細指示,請閱讀「如何備份 Windows 登錄」文件。
按下「開始」,然後按下「執行」。(畫面上便會出現「執行」對話方塊。)
鍵入 regedit 然後按下「確定」。(「登錄編輯器」會開啟。)
跳到這個鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
刪除子鍵 RpcPatch 與 RpcTftpd。
結束並離開「登錄編輯器」。
6. 刪除 Svchost.exe 檔
瀏覽至 %System%\Wins 資料夾,然後刪除 Svchost。
2007-02-27 22:15:09 補充:
修正檔下載點
http://download.microsoft.com/do ... B921883-x86-CHT.exe
2007-02-27 22:18:01 補充:
建議版大:等處裡完這次事件過後,請注意一點~必須把作業系統應用程式全部更新到最新之後再上網,以免又碰上此次的微軟漏洞問題所產生的後遺症。
2007-02-27 17:11:48 · answer #2 · answered by 自在 7 · 0⤊ 0⤋
嗯~根據泥所言~~ 那兩檔案是重要檔案喔~
避免誤判請先準備安裝光碟~以備不時之需!
請使用方法 2 & 3 即可解決!
提供正確刪毒參考:
方法1.去
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
冰島線上掃毒
或
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
卡巴免安裝版(只有 存 30天 免費 空間!)
如不幸真的中毒後請記錄中毒位置
方法 2. 防木馬間諜 AVG Anti-Spyware7.5.0.50綠色繁體中文化版(含即時防護)
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
RS空間下載
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
ES空間下載
(↑File size: 6629Kb. Downloaded: 331 times )
壓縮包內update.exe為啟動器,umain.exe為更新主程序每次升級後,只要請再輸入注冊碼,即可變為加強版。同時提醒一下,升級需點擊二次。綠色版實行即時監空方法運行目錄下的install.bat安裝、uninstall.bat移除、加右鍵掃描方法運行目錄下的!右鍵設置.bat!右鍵解除.bat。
如沒有中文低話~中文化檔
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
http://w10.easy-share.com/667209.html
將 chinese.mo 繁體中文化文件 copy到 你解壓縮的AVG的Translations目錄內再工作欄右下角AVG圖示按右鍵選Chinese就是繁體中文版
方法3.關閉系統還原~重開機後請於安全模式(F8)下執行!
清除木馬推薦
去找費爾強力殺毒工具~
使用 powerrmv 找到病毒
位置如:C:\WINDOWS\*.*(不幸中木馬位置)
→仰制檔案再次生成也勾選
→將其殺掉即可!
圖片參考:http://tw.yimg.com/i/tw/blog/smiley/14.gif
方法 4.
圖片參考:http://tw.yimg.com/i/tw/blog/smiley/36.gif
如何進入安全模式?
補充可使用以下軟體
引用回答者:卍 一笑郎 卍
文章:在電腦開機時等硬體測試畫面跑結束時開始按 F8 就會出現開機選單,您只要利用上/下方向鍵移動到安全模式選項後再按下 Enter 鍵就可以了,
提供另外的方法!
您可以試試這個軟體看看 - BootSafe
BootSafe 是一個免費且免安裝的小程式,使你不用和你的電腦賽跑按『 F8』進入安全模式,你只要很方便的在界面上打勾按下重啟(Reboot),便自動地進入安全模式中!
但要注意的是,請牢記此小程式的放置路徑。因為你進入安全模式後還要用這個小程式的正常啟動項目才能正常重新啟動你的電腦,否則無論你啟動多少次都仍然會逗留在安全模式中!
圖片參考:http://www.kaspersky.com.tw/image2004/download.gif
下載 BootSafe 中文化版
圖片參考:http://i1.tinypic.com/206hgsw.jpg
2007-02-27 17:09:13 · answer #3 · answered by 阿昇 7 · 0⤊ 0⤋