廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 20681 個閱讀者
 
<<   1   2   3  下頁 >>(共 3 頁)
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
small_san
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x14
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[病毒蠕蟲] 超級病毒..本人山窮水盡了..不知道有哪位大大能解?


幾天前電腦怪怪的..
1.C槽打不開..
2.魔法兔子.防毒軟體(原來用NOD32) 全都失效~~>不但不能使用..也不能解除安裝..
當下判定中毒..所以當機立斷..馬上<<重灌>>

C槽有確實FORMAT過..
灌完卻還是有問題..

**C槽打不開的問題已經在重灌後解決**

1. D.E槽點右鍵..開啟變成<湖義>..檔案總管也變成其他看不懂的字..
2.魔法兔子.防毒軟體(NOD.卡巴.江民.甚至SREng..專殺熊貓燒香..專殺落雪木馬等等)
  全都無法安裝或無法執行
3.只要開啟線上掃毒的網頁..它馬上幫你自動關掉IE..
4.C槽根目錄有個隱藏 autorun.inf 資料夾..底下還有個 <轎砮醴翹...> 資料夾..
  怎麼殺都殺不掉..也無法點開看內容..
(本來它死都不讓我看隱藏檔..每次要看都必須執行恢復隱藏資料夾選項原始的登錄檔)
5.執行F8安全模式..它會變成藍底白字..而且每次的錯誤碼都不一樣..

以上報告...
請問各位大大...
這種情況還有什麼方法能解嗎??

拜託了..感激不進!!


[ 此文章被small_san在2007-06-13 02:18重新編輯 ]



獻花 x0 回到頂端 [樓 主] From:臺灣中華電信HINET | Posted:2007-06-12 23:12 |
阿呆2
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x7 鮮花 x48
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

這有篇文章應該有用

關於sxs.exe,autorun.inf病毒的清除方法



關鍵詞: Trojan.PSW.QQPa autorun.inf

今天剛清除了sms.exe病毒(瑞星稱為 Trojan.PSW.QQPass.pqb 病毒),現在將方法匯總一下,供大家參考:

特徵:在每個盤根目錄下自動生成sxs.exe,autorun.inf文件,有的還在windows\system32下生成SVOHOST.exe 或 sxs.exe ,文件屬性為隱含屬性。自動禁用殺毒軟件。

傳染途徑:主要通過U盤,移動硬盤

迷惑性:

1、按ctrl+del+alt查看進程,可能多出svohost進程,他與系統自帶的svchost只差一字,大家要看清楚!

2、註冊表修改項隱蔽更強,如何修改我將在下面詳細說明。

3、自動修改註冊表,使系統「顯示所有隱藏文件」功能失效,從而達到隱藏自己病毒體文件的目的。

清除辦法:

建議到安全模式下,網上有許多網友說直接搜索sms.exe文件刪除是不可以的,因為一刪除後,只要你刷新就立刻出現。

1、關閉病毒進程

Ctrl + Alt + Del 任務管理器,在進程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一個字母),有的話就將它結束掉(並不是所有的系統都顯示有這個進程,沒有的就略過此步)。

2、恢復註冊表(有的系統可能病毒沒有修改註冊表,檢驗辦法是,如果您的系統能看到隱藏文件那麼這步可以省略,建議大家都看一下)

(刪除病毒自啟動項)打開註冊表 運行——regedit

HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

SVOHOST.exe 或 sxs.exe

下找到 SoundMam(注意不是soundman,只差一個字母) 鍵值,可能有兩個,刪除其中的鍵值為 C:\\WINDOWS\system32\SVOHOST.exe 的(顯示出被隱藏的系統文件)

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,將CheckedValue鍵值修改為1

這裡要注意,病毒會把本來有效的DWORD值CheckedValue刪除掉,新建了一個無效的字符串值CheckedValue,類型為REG_SZ,並且把鍵值改為0!我們將這個改為1是毫無作用的。大家要看清楚CheckedValue後面的類型,正確的是「RED_DWORD」而不是「REG_SZ」(有部分病毒變種會直接把這個CheckedValue給刪掉,只需和下面一樣,自己再重新建一個就可以了)

方法:刪除此CheckedValue鍵值,單擊右鍵 新建——Dword值——命名為CheckedValue,然後修改它的鍵值為1,這樣就可以選擇「顯示所有隱藏文件」和「顯示系統文件」。在文件夾——工具——文件夾選項中將系統文件和隱藏文件設置為顯示

3、刪除病毒體文件

在分區盤上單擊鼠標右鍵——打開,看到每個盤跟目錄下有 autorun.inf 和 sxs.exe 兩個文件,將其刪除。

最徹底的刪除辦法是:單擊開始--運行--cmd 確定後在dos狀態下寫如下命令(一般系統盤跟目錄下可能沒有病毒體文件,但是其他盤應該都存在)

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

如果大家還有其他的盤符可以參考我上面的寫一下就可以,如果有E盤,那就是

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

=============建議大家可以寫成一的批處理,然後運行一下就ok了。

最後到 C:\\WINDOWS\system32\ 目錄下刪除 SVOHOST.exe 或 sxs.exe

為了方便大家我寫了一個批處理刪除病毒體文件,運行的時候如果提示「沒有發現該文件」說明找不到病毒體文件,沒有關係的。因為有些目錄病毒可能沒有複製到裡面去。

大家把這個複製後用文本文件保存,然後改名為delsxs.bat,最後雙擊運行就ok了,我只寫到G盤的,估計就夠用的,另外加了個h(u)盤的

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

attrib -h -r -s f:\sxs.exe

del f:\sxs.exe

attrib -h -s -r f:\autorun.inf

del f:\autorun.inf

attrib -h -r -s g:\sxs.exe

del g:\sxs.exe

attrib -h -s -r g:\autorun.inf

del g:\autorun.inf

attrib -h -r -s h:\sxs.exe

del h:\sxs.exe

attrib -h -s -r h:\autorun.inf

del h:\autorun.inf

最後提醒大家的是:使用u盤或者是移動硬盤的時候要在插入後,立刻按住shift鍵,防止自動運行程序啟動,打開的時候要點右鍵--打開,這樣病毒就不會運行(如果存在病毒文件sxs.exe和autorun.inf直接刪除就ok了),否則如果你的u盤上有此病毒,你雙擊後,非但打不開u盤,還運行了病毒程序,呵呵上面做的一切都要重做了哦。

至於殺毒軟件不能自動啟動的問題,那可以重新安裝或者參考各殺毒軟件的處理辦法了,這裡就不一一列舉了。


(信息管理中心 供稿)


4shared限制台灣下載請以"無界瀏覽"或隱藏ip即可正常下載
獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2007-06-12 23:20 |
small_san
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x14
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝樓上大大的提供..
不過..
我沒辦法用安全模式..會出現藍底白字..
而且..
上述的SVOHOST.exe 或 sxs.exe..在我電腦裡面找不到..
delsxs.bat執行後..
autorun.inf 猶原老神在在..只是他由隱藏屬性已經不見了..

其他問題仍在..
請問還有其他辦法嗎??

謝謝你喔!!


獻花 x0 回到頂端 [2 樓] From:臺灣中華電信HINET | Posted:2007-06-13 00:12 |
彗星風采 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x24
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用small_san於2007-06-13 00:12發表的 :
感謝樓上大大的提供..
不過..
我沒辦法用安全模式..會出現藍底白字..
而且..
上述的SVOHOST.exe 或 sxs.exe..在我電腦裡面找不到..
.......
這是典型的U盤病毒..不用緊張..
請樓主先參考置頂文章貼SREng報表上來判讀唷^^
SREng操作簡介--http://bbs.mychat.to/read.php?tid=592517


獻花 x0 回到頂端 [3 樓] From:臺灣中華電信HINET | Posted:2007-06-13 00:59 |
small_san
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x14
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

感謝3樓大大的提供..
本版有關該病毒的文章小弟已經幾乎都閱讀過..
所以當然不會獨漏SREng..
在發文內容有提到了唷..
是它不讓我用..不是我不用 表情

感謝您的提供喔..謝謝!!


獻花 x0 回到頂端 [4 樓] From:臺灣中華電信HINET | Posted:2007-06-13 01:23 |
彗星風采 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x24
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用small_san於2007-06-13 01:23發表的 :
感謝3樓大大的提供..
本版有關該病毒的文章小弟已經幾乎都閱讀過..
所以當然不會獨漏SREng..
在發文內容有提到了唷..
是它不讓我用..不是我不用 表情
.......
試試以下方法吧:

打開啟命令字元(開始->執行->CMD.exe),輸入:attrib c:autorun.inf -s -h -r及attrib d:autorun.inf -s -h -r還原,
然後直接刪除

在命令字元輸入assoc.exe=exefile
接下來開登錄編輯器(開始->執行->regedit.exe)
打開HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\
mountpoints2\{......}\shell,刪除shell下的autorun鍵值,重新開機以後,此時就應
該可以打開c、d槽了。

以上方法轉載自網路安全自治學會~~


獻花 x1 回到頂端 [5 樓] From:臺灣中華電信HINET | Posted:2007-06-13 01:30 |
small_san
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x14
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

上面大大可能誤會我的狀況..
不好意思沒寫清楚..
無法開啟C槽..是重灌之前的問題..

而重灌之後..
現在可以正常打開CDE槽..
但是還有其他上述的狀況..

1. D.E槽點右鍵..開啟變成<湖義>..檔案總管也變成其他看不懂的字..
2.魔法兔子.防毒軟體(NOD.卡巴.江民.甚至SREng..專殺熊貓燒香..專殺落雪木馬等等)
全都無法安裝或無法執行
3.只要開啟線上掃毒的網頁..它馬上幫你自動關掉IE..
4.C槽根目錄有個隱藏 autorun.inf 資料夾..底下還有個 <轎砮醴翹...> 資料夾..
怎麼殺都殺不掉..也無法點開看內容..
(本來它死都不讓我看隱藏檔..每次要看都必須執行恢復隱藏資料夾選項原始的登錄檔)
5.執行F8安全模式..它會變成藍底白字..而且每次的錯誤碼都不一樣..

對不起讓您費心思了..
請幫我繼續加油..拜託囉..謝謝!!


獻花 x0 回到頂端 [6 樓] From:臺灣中華電信HINET | Posted:2007-06-13 02:17 |
彗星風采 手機
個人頭像
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x24
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

請問樓主那Icesword這個程式可以使用嗎?
建議先用Icesword檢視您的C槽底下奇怪的資料夾..
找到問題檔案..右鍵點選Force Delete應該就先可以刪除了..


獻花 x0 回到頂端 [7 樓] From:臺灣中華電信 | Posted:2007-06-13 10:02 |
small_san
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x14
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

報告~

ewido-setup_4.0.0.172c
抓了..雙擊..三擊..四擊..全力一擊~~

統統無働於<<哀>>!!


獻花 x0 回到頂端 [8 樓] From:臺灣 | Posted:2007-06-13 17:41 |
jainder 手機
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x1 鮮花 x62
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

硬碟拆下來,裝到別台有正常防毒功能的電腦當 slave,再掃毒看看


獻花 x0 回到頂端 [9 樓] From:臺灣 | Posted:2007-06-13 18:12 |

<<   1   2   3  下頁 >>(共 3 頁)
首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.055295 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言