鐵之狂傲

標題: 如何刪除木馬(墨香被盜和會怕的人請用)2度聲明 [列印本頁]

作者: 藍月光    時間: 06-8-10 10:24
標題: 如何刪除木馬(墨香被盜和會怕的人請用)2度聲明
如題˙ˇ˙

我在我的工作管理員裡面的處理程序
發現一堆名字一樣的執行檔
svchost.exe
起碼有六個以上
使用者名稱有:
LOCAL SERVICE
NETWORK SERVICE
SYSTEM

這是啥檔案阿
總覺得怪怪的同樣名稱執行檔高達6個..

以上這是思念的情況其餘被盜帳號者也都是這情況
首先到開始~>執行regedit會看到登陸編輯程式 如有下列3種程式
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
將這3種機馬刪除 後重開機 掃毒 刪除病毒
上雲起關網改密碼  改玩之後用此連結下載掃毒程式
ftp://ftp.download.com/pub/win95/utilities/aaw6181.exe
用法:(這掃毒程式比較強)
1.先下載完安裝好
2.啟動程式,看到畫面左邊有好幾個按鈕這時候選第2個.
3.這時中間會出現有3個選項的框框,選第2個,然後再按右下角那個按鈕,開始掃描。
4.掃描完如果有出現好幾個名稱,那就是你中了那些病毒的名字,然後再那些病毒名稱左邊的小框框每個都打勾,好了之後請按NEXT,之後會出現一個框框裡面都是英文字的這時候請選確定(英文的).


已證明關網有木馬
我剛剛上關網更改密碼之後掃毒發現4個˙ˇ˙



嘎嘎....以上所敘述的方法....已經沒用了xd
盜帳者已經算是神人了

[ 本文最後由 藍月光 於 06-8-25 10:26 AM 編輯 ]
作者: 藍月光    時間: 06-8-10 10:28
以上如果ok之後請到工作管理程式查看cpu使用率多少如果還是在90%以上就是沒掃乾淨
請重複以上動作或重灌或是請教電腦高手
作者: gillian1662    時間: 06-8-10 10:45
恩恩謝謝光大教學 我回家來去試試看
作者: 藍月光    時間: 06-8-10 10:53
怎麼可只有試試而已ˋˊ
給我加聲望ˋˊ
作者: gillian1662    時間: 06-8-10 10:59
抱歉阿光大我新來的不知道怎麼給你聲望
阿我看到啦
作者: gillian1662    時間: 06-8-10 16:14
><好可怕 又好氣 官網還是不處理 光大要小心
作者: polm0311    時間: 06-8-12 16:18
...........................THX
作者: 煞氣熊仔    時間: 06-8-13 01:16
刪除那些Run嗎
刪除那些對電腦會有傷害嗎?
作者: 藍月光    時間: 06-8-13 09:35
原文由 煞氣熊仔 於 06-8-13 01:16 發表
刪除那些Run嗎
刪除那些對電腦會有傷害嗎?



不會  那本就是危害你電腦的程式你刪了會讓你電腦2度受害嗎?
作者: MoonElf    時間: 06-8-14 01:02
建議最好不要這樣做!!

首先..
svchost.exe為windows重要的系統檔案,
但是木馬病毒也很愛冒用這檔名,
當你無法確定該檔案是正常檔案還是假檔案,
全砍了一定會造成某些程式發生問題.
再來機碼部份..
所列出的路徑為windows開機必須先載入的一些程式,
如音效卡驅動,顯示卡工具,防毒驅動等等...
當然部份木馬載入也會利用這地方,
如果全砍了後果自己想.

最正確的方式是利用各大掃毒軟體或網站掃毒,
掃到如果可以自動幫你砍最好,
不行再利用網路搜索別人經驗來解決.
作者: 藍月光    時間: 06-8-14 15:05
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

以上這3個機馬代表木馬 不是正常運作的程式 所以殺掉沒關係
作者: MoonElf    時間: 06-8-14 22:23
我來利用我的電腦說明好了..
我使用win2000 sp4 並使用軟硬體2道防火強,
利用賽門鐵克,卡巴斯基,驅勢,f-secure,Ad-aware找不到木馬病毒環境,
附近還有win xp sp1和sp2 2台電腦,
3台電腦皆有svchost.exe和那3條機碼,
正常來說只要是windows就算是封閉型電腦,也都會有這4樣東西.

再來看圖說故事..
了解一下這3條機碼做什麼?
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

1..HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


你們可以核對藍箭頭地方,看我有沒有找錯.
這裡面只有1個,他是做什麼用?以下是網路找的資料.
「internat.exe」是 windows 為了非英語的 windows 版本能顯示鍵盤配置狀況(也就是輸入法切換),所提供的一常駐程式。
後面還有嘩啦啦一堆,有興趣自己找.

2..HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


這東西多了點,編號解釋一下..
   1和6是賽門鐵克防火強和防毒的一些東西
     2和3是windows運算用的東西
     4是顯示卡工具程式
     5是音效卡工具程式
     7是RealPlayer的東西
本來裡面還有印表機工具.系統備份,磁碟監控等等,好幾個機碼,
覺得佔記憶體,都被我砍掉了.

3..HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run


同上..自己看.


所以要砍光光?再考慮看看吧...

另外告訴一個小知識..
假設..今天你利用掃毒程式找到一個木馬叫"木馬A.EXE"
而且"木馬A"是利用以上機碼來做載入,
那你可能在機碼內看到這樣的東西..


你可以把"木馬A"這條機碼刪除,
那開機"木馬A"就不會運作,但是"木馬A.EXE"這木馬仍存在,只是不會動.
反過來說..
如果一開始找到就把"木馬A.EXE"這程式給砍了,
那機碼內的"木馬A"那個機碼,不管他也無所謂,因為程式都沒了.

木馬載入方式非常多,上面是打比方,必須依實際狀況來處理才是正確的.

[ 本文最後由 MoonElf 於 06-8-14 10:31 PM 編輯 ]
作者: 藍月光    時間: 06-8-14 22:38
沒錯~這位朋友電腦也不錯...像我就半調子˙ˇ˙
不過請放心 我是有經過查證的
作者: barock00    時間: 06-8-22 22:44
原文由 MoonElf 於 06-8-14 01:02 AM 發表
建議最好不要這樣做!!

首先..
svchost.exe為windows重要的系統檔案,
但是木馬病毒也很愛冒用這檔名,
當你無法確定該檔案是正常檔案還是假檔案,
全� ...



沒有錯
這些svchost.exe是電腦本身的
擬砍了之後
嘿嘿
會無法上網,無法正常關機...等

木馬應該是
svhost32.exe
如果沒記錯應該是這個
反正沒有c而且有多一個32,跟svchost.exe跟長的很像的

[ 本文最後由 barock00 於 06-8-22 10:47 PM 編輯 ]
作者: pigod86    時間: 06-8-24 01:46
標題: 這個殺毒的我用過...只能用好用來形容^^
我很少發文,也不會加聲望...不過我會多學一下,多常常來的,等我會了,一定幫你加




歡迎光臨 鐵之狂傲 (https://gamez.com.tw/)