鐵之狂傲

標題: 關於病毒and木馬 = =" [列印本頁]

---

作者: wilian0104    時間: 06-9-24 21:13
標題: 關於病毒and木馬 = ="
最近被盜了很多次..

所以用賽門鐵克跟卡巴斯基都掃了一次

但是都掃不到毒 病毒碼也是天天更新

而且有病毒的東西我去安全模式裡找都找不到

像是dlyy.dll檔 他說有毒 可是天天刪除天天出現

還有Downloader 也是發現威脅 有刪除成功 去資料夾找也找不到

還有winlogon 也爬過文去找資料刪除他 找也找不到

以及一堆東西 太多了懶的說=  ="

狀況也是一樣 但出現的只有這3個而已

---

作者: 萌萌看板娘    時間: 06-9-24 21:28
像這個時候~

在下通常都把重要的檔案移到別槽

然後重灌

在下有時候就是得這樣

---

作者: 幻影神兵    時間: 06-9-25 19:20
光是刪除檔案是沒有效果的，
真的要的話是完全根除木馬給你加設的一些看不見的東西。

如果是一般的木馬，一直出現的話，可以用費爾殺毒順便抑制就可以了，
然後再把被改的東西改回來。

至於比較特殊的木馬 (自動從網路抓感染的檔案這種的) 可能就要費很大力氣了。

需要的話把掃到的訊息提供出來，人多好解決:D

---

作者: wilian0104    時間: 06-9-26 20:53
那我一個一個來吧
dlyy.dll
威脅:Infostealer.Lineage
使用者:Administrator
採行的措施:備份
動作說明:檔案未變更
狀態:已感染
目前位置:C\WINDOWS\system32\
來源:本機
發現日期:2006/9/25 (這只要開機都有
掃描類型:自動防護掃描
設定動作:從檔案清除病毒
設定備份動作:隔離受感染的檔案
----------------------------------分隔線-------------------------------------
就算我沒開賽門鐵克去找還是找不到 山了還是會出現

---

作者: 幻影神兵    時間: 06-9-26 22:31
這不就是之前你說的那一隻=   ="
-----------------------------
首要條件還是先關閉系統還原，這個應該會吧？

然後去更新病毒定義檔，
http://securityresponse.symantec.com/avcenter/refa.html#ludefs
這是它的網站下載

接著進入安全模式（開機Ｆ８）

再來用諾頓完全掃描，完全掃描出來的感染東西全部刪除
（你用找的不一定找的到）

刪除完後進入修改註冊碼

執行>regedit
找到以下的機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

然後刪除以下的值（沒找到就算了，可以省略）
"[隨機名稱]" = "ProgramFiles\rundll32.exe"
"[隨機名稱]" = "ProgramFiles\explorer.exe"
"[隨機名稱]" = "ProgramFiles\Internat.exe"
"[隨機名稱]" = windows\rundll32.exe"
"[隨機名稱]" = "windows\Internat.exe"


這是唯一一些防毒網站提供的方法。 真的不能就去費爾網站下載抑制工具吧- -

---

作者: wilian0104    時間: 06-9-27 19:57
試過了
找不到+掃不到
也沒你說的機碼= =
但是不小心被我找到另一之 被我刪掉了= =

---

作者: j100002ben    時間: 06-9-27 20:22
在這邊
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
找找看有沒有奇怪的程式
ex：名稱很奇怪，路徑怪怪的......
並將他刪除(不要刪到重要的檔案，如Explorer.exe.....防毒.....)
，然後重新開機，進安全模式，掃毒

對了，有些病毒檔案名稱會取的和正常檔案名稱很像，
例如：e變成a或O.o(英文)變成0(數字)...等等，所以不要殺錯！

---

作者: wilian0104    時間: 06-9-27 21:23
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
裡面有一個很怪的:%systemroot%\system32\dumprep 0 -K

---

作者: 幻影神兵    時間: 06-9-27 22:14
那個沒問題，那是回報工具，WINDOWS如果出現錯誤就會出現回報，是那個註冊碼用的。

不用刪除掉沒關係，頂多修改不回報就好。

--
至於你說找不到？那還會有那個木馬跳出來嗎？
這樣就很奇怪了= ="
不然得直接抓費爾的抑制程式壓下來吧，這是最後的方法了。

---

作者: wilian0104    時間: 06-9-28 20:05
每次開機都會出現
賽門鐵克都說刪掉了 可是重開機一定會再出現

---

歡迎光臨 鐵之狂傲 (https://gamez.com.tw/)