我用卡巴掃到 Net-worm.win32.XXXX 之後刪除 卻越來越多病毒檔 例如 Troj-DOWNLODER.BAT.FTP.A-B 還有一堆雜7雜8病毒木馬.附屬登錄.之類 之後我決定重灌 在安裝[a-spuared Free]再掃一次結果傻眼@.@~問題如下
C:\Program Files\alibabar檢測到:Trace.Directory.ALiBaBar C:\Program Files\alibabar\alibabar.dll檢測到:Trace.File.ALiBaBar Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.ALiBaBar Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.ALiBaBar Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.ALiBaBar Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.ALiBaBar Key: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.Claria.CommonComponents Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.Claria.CommonComponents Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.Claria.CommonComponents Key: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.GatorValue: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.Gator Value: HKEY_LOCAL_MACHINE檢測到:Trace.Registry.Gator C:\WINDOWS\NOTEPAD.EXE 檢測到:Trojan.Win32.Patched.c
C:\WINDOWS\regedit.exe檢測到:Trojan.Win32.Patched.c
C:\WINDOWS\system32\notepad.exe 檢測到:Trojan.Win32.Patched.c
C:\WINDOWS\system32\taskmgr.exe 檢測到:Trojan.Win32.Patched.c
C:\WINDOWS\system32\userinit.exe 檢測到:Trojan.Win32.Patched.c
--------------------------------------------------------------------------------------------
跪求"高手高手高高手"幫忙解決3q嘿
2007-03-02 09:20:27 · 7 個解答 · 發問者 小獻 1 in 電腦與網際網路 ➔ 軟體
版大:只能為您查到類似蠕蟲病毒,來自於作業應用程式漏洞之漏洞。請看以下建議:
它也會透過 IRC 開啟受感染電腦的後門。
這些病蟲會利用許多種弱點來傳播,包括:
容易猜測的網路共用資料夾密碼
使用 TCP 埠號 135 和 445 來探測DCOM RPC 弱點(如 Microsoft Security Bulletin MS03-026 所述)
使用 TCP 埠號 80 來探測 WebDav 弱點 (如 Microsoft Security Bulletin MS03-007 所述)
大部分的變異體都會使用執行時期壓縮程式進行壓縮,例如 UPX。
賽門鐵克安全機制應變中心已開發出可清W32.HLLW.Gaobot.gen 感染的移除工具。
開始之前:
如果您執行的是 Windows NT/2000/XP,請務必先進行或確定已完成下列動作:
建立安全的密碼。 這項威脅會利用容易猜測的網路密碼。 (全天候的 Internet 連線,例如 DSL 或 Cable,被認為是這些攻擊目標的網路連線。
安裝 DCOM RPC 弱點的修補程式,如 Microsoft Security Bulletin MS03-026 所述。
安裝 WebDav 弱點的修補程式,如 Microsoft Security Bulletin MS03-007 所述。
建議您暫時關閉「系統還原」,更新病毒定義檔,[將電腦關機。等待至少 30 秒鐘,然後重新啓動電腦至安全模式或模式。]重新啟動電腦至安全模式或 VGA 模式,掃描並刪除受感染的檔案[如果偵測到任何受 W32.HLLW.Gaobot.gen 感染的檔案,請按下「刪除」]
從登錄中刪除值
警告:對系統登錄進行任何修改之前,賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯,嚴重時將會導致資料遺失或檔案受損。只修改指定的登錄鍵。如需詳細指示,請閱讀「如何備份 Windows 登錄」文件。
按下「開始」,然後按下「執行」。(畫面上便會出現「執行」對話方塊。)
輸入 regedit 然後按下「確定」。(「登錄編輯器」會開啟。)
跳到這個鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
在右邊窗格中,刪除所有與病蟲檔案相關的值,亦即在步驟 4 中所偵測的值。
跳到這個鍵:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
然後重複步驟 d。
跳到這個鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
按下「編輯」,然後按下「尋找」。 搜尋這個值:
-service
如果找到任何這類的值,請確定它們看起來像:
<登錄鍵名稱> = "%System%\<病蟲的檔名>" -service
(其中的登錄鍵名稱與步驟 d 中的 Run 登錄鍵名稱相同。)
範例:
"Configuration Loader" = "C:\WINNT\SYSTEM32\Service.exe" -service
如果是這種情況,請刪除含有這個值的子鍵。 範例:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a3
注意: 這個病蟲的所有變異體都不會建立這種登錄鍵。
結束並離開「登錄編輯器」。
2007-03-02 14:57:12 補充:
於此更有一事建議:請版大支持正版卡巴斯基防毒軟體,所有正版卡巴斯基防毒軟體對已知病毒都能予於修復、解毒、隔離、刪除。針對於試用版或是破解版版本的其他是如卡巴斯基防毒軟體都無此項功能。給版大參考一下。
2007-03-02 09:53:36 · answer #1 · answered by 自在 7 · 0⤊ 0⤋
下面的網址應該對你有幫助
http://phi008780416.pixnet.net/blog
2014-04-19 02:20:58 · answer #2 · answered by Anonymous · 0⤊ 0⤋
謝謝 各位高手的回覆
問題出在我那該死的大補帖上 大補帖上預留後門程式
我跟朋友 借了正版XP 在安裝卡巴斯基 跟 a-spuared Free 目前完全乾淨嚕
感謝各位高手提供的意見
2007-03-13 05:26:51 · answer #3 · answered by 小獻 1 · 0⤊ 0⤋
手動刪除病毒方法:
開始>執行>輸入regedit>確定(按確定後會跑出登陸編輯程式的視窗)>編輯(在左上方)>尋找>輸入病毒名稱(下方的機碼、值、資料要打勾)>找下一個(右邊的按鈕)
按找下一個按鈕鍵後它會開始尋找病毒檔案,若尋找到了
在右邊大空格會出現,這時你就按右鍵刪除,刪除完畢後按F3它會在收尋,一直重複[收尋刪除]直到出現登陸搜尋完成才表示病毒檔案已經不存在了,完成以上的步驟後重新開機
> 代表下一步
例如:
電腦中ssqop.dll病毒
開始>執行>輸入regedit>確定(按確定後會跑出登陸編輯程式的視窗)>編輯(在左上方)>尋找>輸入ssqop.dll(下方的機碼、值、資料要打勾)>找下一個(右邊的按鈕)
2007-03-02 14:08:01 · answer #4 · answered by ? 7 · 0⤊ 0⤋
冰河可以說是最有名的木馬了,就連剛接觸電腦的用戶也聽說過它。雖然許多殺毒軟件可以查殺它,但國內仍有幾十萬中冰河的電腦存在!作為木馬,冰河創造了最多人使用、最多人中彈的奇跡!現在網上又出現了許多的冰河變種程序,我們這裡介紹的是其標準版,掌握了如何清除標準版,再來對付變種冰河就很容易了。
冰河的服務器端程序為G-server.exe,客戶端程序為G-client.exe,預設連接端口為7626。一旦執行G-server,那麼該程序就會在C:\Windows\system目錄下生成Kernel32.exe和sysexplr.exe,並刪除自身。Kernel32.exe在系統啟動時自動加載執行,sysexplr.exe和TXT檔案關聯。即使你刪除了Kernel32.exe,但只要你開啟TXT檔案,sysexplr.exe就會被激活,它將再次生成Kernel32.exe,於是冰河又回來了!這就是冰河屢刪不止的原因。
清除方法:
1、刪除C:\Windows\system下的Kernel32.exe和Sysexplr.exe檔案。
2、冰河會在登錄表HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Run下扎根,鍵值為C:\windows\system\Kernel32.exe,刪除它。
3、在登錄表的HKEY_LOCAL_MACHINE\software\microsoft\windows\
CurrentVersion\Runservices下,還有鍵值為C:\windows\system\Kernel32.exe的,也要刪除。
4、最後,改登錄表HKEY_CLASSES_ROOT\txtfile\shell\open\command下的預設值,由中木馬後的C:\windows\system\Sysexplr.exe %1改為正常情況下的C:\windows\notepad.exe %1,即可恢復TXT檔案關聯功能。
2007-03-02 10:34:25 · answer #5 · answered by 阿昇 7 · 0⤊ 0⤋
基本上因為你的被改寫內部程式 , 和植入以對方所寫的登陸檔名和附加檔
再由其中 , 的附加檔做一個登陸 , 在你每回開啟電腦後 , 連上網路 , 他就可以之接由登陸檔方式 , 傳送很多的惡意檔和病毒碼 , 基本上來說遇到這樣的情形
說實在很麻煩 , 小弟先教你其方式不行的話就拿去送修 , 讓工程師幫你做解碼檔
1開啟電腦後 , 在執行打入REGEDIT , 進入後去找\HKEY_LOCAL_MACHINE
找出以上你得知的不知名登陸檔 , 找出後刪除
2在到hkey_current_user , 中找出以上的附加程式執行檔
C:WINDOWSregedit.exe檢測到:Trojan.Win32.Patched.c
C:WINDOWSsystem32notepad.exe 檢測到:Trojan.Win32.Patched.c
C:WINDOWSsystem32taskmgr.exe 檢測到:Trojan.Win32.Patched.c
C:WINDOWSsystem32userinit.exe 檢測到:Trojan.Win32.Patched.c
3在到hkeyuser主機碼這邊 , 找出你所在的機碼中有被改過的碼
看看是不是有所碼是以亂數或這是多出一些類似檢體碼
給予刪除
4在到hkey_classes_root , 找出Net-worm.win32.XXXX 這類木馬他是以寫馬方式來執行 , 所以因該可以找的到
全做完後 , 在開機在用掃毒程式看看還有哪些問題
如果真的不行就拿去送修 , 因為這回你被比較高段的高手入侵
希望對你有幫助
2007-03-02 09:56:04 · answer #6 · answered by ? 7 · 0⤊ 0⤋
eScan 防 毒 軟 體 標 準 版
美 商 Micro World 專 精 於 防 毒 和 內 容 安 全,致 力 於 提 供 更 簡 單、更 安 全 的 防 毒 軟 體。
eScan 採用 Kaspersky(卡巴斯基) 掃 毒 引擎,提 供 了 最 佳 的 安 全 防 護。
但 eScan 使 用 更 少 的 系 統 資 源,有 效 地 減 少 使 用 防 毒 軟 體 而 使 系 統 變 慢 的 問 題。
eScan 提 供 了 避 免 病 毒、特 洛 依 木 馬、蠕 蟲 和 潛 伏 在 網 際 網 路 中 的 其 它 威 脅 的 最 佳 保 護。
eScan 象 徵 著 從 新 觀 點 管 理 威 脅 的 防 毒 軟 體 產 品 新 世 代。
它 建 立 在 Micro World Winsock Layer (MWL) 技 術 之 上。
MWL 在 您 的 系 統 周 圍 構 築 了 一 個 保 護 幕 並 且 從 你 啟 動 了 電 腦 直 到 關 機 都 一 直 守 護 著 你 的 電 腦。
圖片參考:http://tw.yimg.com/i/tw/blog/smiley/39.gif
下 載︰ http://www.mwti.net/download/escan/es2k3e/awn2k3e.exe
2007-03-02 09:41:30 · answer #7 · answered by 伊 比 鴨 鴨 6 · 0⤊ 0⤋