鐵之狂傲

標題: 電腦出問題了 [列印本頁]

作者: 呆翰 時間: 07-7-23 21:43
標題: 電腦出問題了
最近大概2個禮拜

1.電腦都不能關機(都是停在桌面,就是只剩下桌布的圖案

就一直停在那邊,不會跑!

2.只要一開機就一堆''特洛伊木馬''顯示

我家的防毒系統''avast''他會出跳出視窗阻擋木馬

我也用過超級兔子,修復ie偵測木馬,雖然都有找到

但是按一鍵清除,跑完了...我在重新偵測但是還是一樣有''木馬''

我是個電腦白痴,我不會刪毒....''avast''有木馬他都會說

請移至隔離區,每次都照著他的步驟...可是開機時都一直跳出木馬

每天都重複一樣的事情..我又不懂怎樣刪毒...

誰能解決我的問題呀~~~拜託各位了!

作者: 路.里美亞克 時間: 07-7-23 23:47

原文由呆翰於 07-7-23 09:43 PM 發表
最近大概2個禮拜

1.電腦都不能關機(都是停在桌面,就是只剩下桌布的圖案

就一直停在那邊,不會跑!

2.只要一開機就一堆''特洛伊木馬''顯示

我家的防毒系統''avast''他會出跳出視窗阻擋木馬

我也用過超級兔子,修復i ...

1.可能是有某個程序關閉不了

先登出然後按左下的關機

不過這治標不治本

我會再查查

2.應該是母病毒檔沒有掃掉

把你掃到的木馬病毒名記下

上網搜尋清除方法

作者: 小黑旺旺 時間: 07-7-24 08:06
那個木馬卡能是有還原@@因為我以前種過那要跑到安全模式的開機檔還有登入檔殺殺完後再回來一般模式殺所以建議是重灌比較快!!

作者: 啞巴妖精 時間: 07-7-24 08:20
把你會執行的程式名稱先記下來
然後進去開始>執行>輸入msconfig執行
把你剛剛看到的名稱讓他暫停啟動..
然後重新開機
接下來在執行>輸入 REGEDIT
把你剛剛停止的那些名子從編輯>尋找
找出來每找到一個就delete 然後在按下一個
給他全部清光然後再一次重新開機
情況應該就會好得多了.....

作者: rog499 時間: 07-7-24 09:06
你可以去知識找找
超級兔子一點用也沒有
只能用一些小地方的修補

作者: 幻影神兵 時間: 07-7-24 10:22
http://kerash.myweb.hinet.net/HijackThis.rar
HijackThis 貼一份報告出來

另外把防毒軟體顯示的報告也貼出來

作者: 呆翰 時間: 07-7-24 17:18
發現病毒
檔案名字: b[1].exe
檔案ID: 188
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 190
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 192
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 194
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 196
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 198
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 199
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 201
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 211
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 213
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 215
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 217
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: b[1].exe
檔案ID: 219
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl11279515.exe
檔案ID: 193
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl148156.exe
檔案ID: 218
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl149531.exe
檔案ID: 200
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl14963578.exe
檔案ID: 195
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl149656.exe
檔案ID: 207
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl149921.exe
檔案ID: 197
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl150859.exe
檔案ID: 187
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl151921.exe
檔案ID: 205
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl152703.exe
檔案ID: 214
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl154796.exe
檔案ID: 209
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl231312.exe
檔案ID: 220
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl233953.exe
檔案ID: 203
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl3826109.exe
檔案ID: 208
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl3845000.exe
檔案ID: 202
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl3851734.exe
檔案ID: 216
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl3912281.exe
檔案ID: 204
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl3995406.exe
檔案ID: 206
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl4049484.exe
檔案ID: 189
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl4808046.exe
檔案ID: 210
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl7595734.exe
檔案ID: 191
病毒描述: Win32:StartPage-444 [Trj]

發現病毒
檔案名字: dl8491687.exe
檔案ID: 212
病毒描述: Win32:StartPage-444 [Trj]
_________________________________________
這次掃描出來的

這些都還存在''avast''病毒隔離區裡面

有需要甚麼,我會再貼

幫我解決@@
__________________________________________
掃描時跳出的

[ 本文最後由呆翰於 07-7-24 05:39 PM 編輯 ]

作者: 迷糊小書僮 時間: 07-7-24 17:38
妳先下載幻影給的檔案，啟動 HijackThis以後，按 Do a system scan and save a logfile，掃瞄完以後他會跳出一個記事本，把裡面的字全部複製以後貼上來

另外妳有沒有辦法把中毒的檔案壓成壓縮檔以後上傳

作者: 呆翰 時間: 07-7-24 17:42
我下載幻影那個HijackThis

開不起來...

存在桌面或是開啟檔案

都沒東西顯示啊- -

作者: 迷糊小書僮 時間: 07-7-24 17:47

原文由呆翰於 07-7-24 17:42 發表
我下載幻影那個HijackThis

開不起來...

存在桌面或是開啟檔案

都沒東西顯示啊- -

呃...那我上傳的附件可以嗎...

因為我下載下來可以用...

開啟壓縮檔以後點選裡面的執行檔

HijackThis.rar

207.98 KB, 下載次數: 30, 下載積分: 鐵幣 -5 元

作者: 幻影神兵 時間: 07-7-24 18:18
有先關閉系統還原了沒？

作者: sjc 時間: 07-7-25 00:08
一、關閉系統還原，勿成病毒幫兇

中毒了?有木馬?如何移除?第一要務，也是必備動作，就是要關閉還原系統。微軟將Window system restore

系統還原放在System Volume Information的資料夾。而微軟禁止任何防毒軟體進入系統還原的資料夾進行清

理動作，這有商業模式與系統完整的雙重考量。由於微軟為病毒開了一個後門，造成了病毒也可以借屍還魂

形成防毒好像己經移除了病毒可是病毒靈魂依然與你的電腦同在。這個良好美意，使你真正需要系統還原時，

無法成行，但是對於病毒而言，卻是屢屢可以高唱"還魂曲"。

二、使用要點

Symantec Antivirus官網手工解毒的第一道手續，就是請你關閉系統還原。加上微軟這個系統還原佔有非常大

的資源，一般進階的用戶，對於這個雞肋，實無太大好感，所以大部份就私下把它給"閹"了。當然你也可掃除

病毒前先暫時關閉，等移除了病毒之後再按反方向將其打開，請按圖操作就可。

第一、先關閉系統還原

第二、進入安全模式

第三、記得將你的防毒更新到最新，並開始掃毒。

第四、進入Quarantine將有毒的毒檔刪除。

第五、重啟，看是否ok了?

[ 本文最後由 sjc 於 07-8-18 04:03 PM 編輯 ]

作者: 呆翰 時間: 07-7-25 11:21

原文由 sjc 於 07-7-25 12:08 AM 發表
一、關閉系統還原，勿成病毒幫兇

中毒了?有木馬?如何移除?第一要務，也是必備動作，就是要關閉還原系統。微軟將Window system restore

系統還原放在System Volume Information的資料夾。而微軟禁止任何防毒軟體進 ...

我關掉系統還原了..

接下來的步驟...有沒有圖或動畫..

我根本不知道要按哪裡呀><

對不起..麻煩各位大大!!!

作者: 呆翰 時間: 07-7-25 11:24

原文由 迷糊小書僮 於 07-7-24 05:47 PM 發表

呃...那我上傳的附件可以嗎...

因為我下載下來可以用...

開啟壓縮檔以後點選裡面的執行檔

不能捏ˊˋ....

我把系統還原關掉了

在下載附件開啟

存到桌面...都只是出現漏斗

然後甚麼東西都沒開出來了!

我也不知道怎樣了...

作者: 幻影神兵 時間: 07-7-25 12:56
那換 SREng 看看 ...
不過我不敢保證我看的絕對懂

我比較會 HijackThis

再不能用就是你電腦的問題了，這大家都沒辦法幫忙

----
打開後智慧掃瞄存報告
把報告貼出來

sreng2.rar

773.1 KB, 下載次數: 12, 下載積分: 鐵幣 -5 元

SREng

作者: magicalloveshe 時間: 07-7-25 13:28
標題: 回覆 #12 sjc 的文章
題外話
我想要知道你的那個精美gif是怎麼做的？
應該不是自己一張一張照下來製作的吧？
才129K就有這麼好的品質
天啊！
感覺真棒！
快點敎大家怎麼做吧

[ 本文最後由 magicalloveshe 於 07-7-25 01:29 PM 編輯 ]

作者: 呆翰 時間: 07-7-25 17:41

原文由 幻影神兵 於 07-7-25 12:56 PM 發表
那換 SREng 看看 ...
不過我不敢保證我看的絕對懂

我比較會 HijackThis

再不能用就是你電腦的問題了，這大家都沒辦法幫忙

----
打開後智慧掃瞄存報告
把報告貼出來 ...

跟之前的一樣...

沒反應...

作者: 幻影神兵 時間: 07-7-25 17:41
直接貼工作管理員出來讓我們看看好了 ...

作者: 迷糊小書僮 時間: 07-7-25 18:11
麻...我覺得你的電腦連解壓縮程式都掛了

另外那些檔案都只在IE的暫存檔而已

AVAST沒抓到主體...

囧

沒辦法...照幻影說的把工作管理員裡面的程式拍下來貼上來看吧=.=

作者: 呆翰 時間: 07-7-25 21:28

原文由 幻影神兵 於 07-7-25 05:41 PM 發表
直接貼工作管理員出來讓我們看看好了 ...

是這個嗎?....
我的等級不能把整張貼出來...
每天都不能關機啦...只能強制關機
很傷電腦ˊˋ...拜託幫我想辦法...

[ 本文最後由呆翰於 07-7-25 09:30 PM 編輯 ]

作者: 幻影神兵 時間: 07-7-25 21:49
u.exe 很可疑
不！不只可疑，是詭異到極點

關閉這個檔案後再開開看能不能開啟上面說的那些軟體
（居然用AVAST啊，今天AVAST對無名的相簿很敏感XD）

另外還有 smss 也關閉，使用者是 USER 的。

作者: 呆翰 時間: 07-7-25 21:55
關不調smss....

[ 本文最後由呆翰於 07-7-25 09:59 PM 編輯 ]

作者: 呆翰 時間: 07-7-25 22:02
關調1個後...最新一張

[ 本文最後由呆翰於 07-7-25 10:05 PM 編輯 ]

作者: sjc 時間: 07-7-25 22:06

原文由呆翰於 07-7-25 11:24 AM 發表

不能捏ˊˋ....

我把系統還原關掉了

在下載附件開啟

存到桌面...都只是出現漏斗

然後甚麼東西都沒開出來了!

我也不知道怎樣了...

關閉系統還原跟這個無關。

你目前到底是什麼情況，俱體的說出來，才能對症下藥。

第一、關閉系統還原，按圖操作，按確定不是就可以嗎?

第二、重新開機，按F8進行安全模式。或是按圖操作。

第三、由於所描述的你的掃毒軟體是可以找到病毒的，就進行掃唄!!

第四、掃完就到"警閉室"將毒檔刪除唄。

第五，重新開機就行了。

或是你來下載這個軟體進行全面清理。

[ 本文最後由 sjc 於 07-7-30 03:16 PM 編輯 ]

作者: 幻影神兵 時間: 07-7-25 22:28
用這款 ProcessExplorerNt

把Explorer根目錄下的執行檔案拍一張照片，
要確認一下哪些rundll有問題 ...

還有你一堆檔案可以不用開啟的盡量關閉，速度會差很多

開機不執行的方法 sjc 有稍微提到，我就不提了。
\* 他的是說另一種，要開機不執行，從msconfig>啟動裡，把檔案關閉 *\

---
如果有正在執行中的檔案無法關閉
去網路找Unlocker來強制關閉，我這暫時沒有教學

smss 一定要是系統檔，讓使用者(user)開啟的是惡意檔

\*如果你選擇關閉的是 SYSTEM 為使用者的絕對不能關
\*USER的就用Unlocker強制解除並且刪除。

[ 本文最後由幻影神兵於 07-7-25 10:33 PM 編輯 ]

ProcessExplorerNt.rar

1.08 MB, 下載次數: 20, 下載積分: 鐵幣 -5 元

ProcessExplorerNt

作者: 呆翰 時間: 07-7-25 23:07
幻影..Explorer根目錄...

在哪.....

那是啥啊.....要跟我說哪個地方開

作者: 幻影神兵 時間: 07-7-25 23:23

原文由呆翰於 07-7-25 11:07 PM 發表
幻影..Explorer根目錄...

在哪.....

那是啥啊.....要跟我說哪個地方開

下載附件解壓縮後打開執行
會有提示直接按確定就可以

打開後最下面的目錄根就是Explorer
把那些部份照下來

（我可能沒辦法今晚解決囉）

作者: rog499 時間: 07-7-26 10:47
我建議你從灌了
因為這種病毒會分裂

作者: 幻影神兵 時間: 07-7-26 11:22
smss 清除法

http://www.hatea.com.tw/tech/files/DEL_SMSS.txt

#出處：裕笠 http://www.ublink.org/welcome.php

u.exe 是監控軟體
http://www.bleepingcomputer.com/ ... d_Exel_R-17920.html

先提供到這。

[ 本文最後由幻影神兵於 07-7-26 02:46 PM 編輯 ]

作者: sjc 時間: 07-7-26 11:43
我做了一個與你病毒同名的DLL檔，路徑一樣，就按圖操作吧。

下載費爾工具，強制移除病毒。

http://dl.filseclab.com/down/powerrmv.zip

[ 本文最後由 sjc 於 07-7-30 03:16 PM 編輯 ]

作者: kibkib 時間: 07-7-26 12:41
此軟體可與ＮＯＤ３２防毒軟體並存用它掃毒

作者: 呆翰 時間: 07-7-26 17:32

原文由 幻影神兵 於 07-7-25 11:23 PM 發表

下載附件解壓縮後打開執行
會有提示直接按確定就可以

打開後最下面的目錄根就是Explorer
把那些部份照下來

（我可能沒辦法今晚解決囉）

東西都開不了....

真的...

作者: 迷糊小書僮 時間: 07-7-26 17:46
呃...妳應該能執行exe檔吧?

把我的附件下載以後把副檔名rar改成exe直接執行

另外從工作管理員看的檔案可能有問題的晚點貼上來=.=

HijackThis.rar (213 KB, 下載次數: 35)

有中毒的大概這樣，也不太確定=.=

[ 本文最後由迷糊小書僮於 07-7-26 05:53 PM 編輯 ]

作者: 幻影神兵 時間: 07-7-26 20:51
sistray
.
htpatch

有問題的是
mswsgs.exe -- 間諜軟體
smss.exe -- ?? (必須是user而非system開啟的才是木馬)
u.exe -- 監控軟體

[ 本文最後由幻影神兵於 07-7-27 08:43 AM 編輯 ]

作者: 迷糊小書僮 時間: 07-7-26 21:01
smss.exe -- ?? (必須是user而非system開啟的)是SYSTEM不是user吧...

我的電腦是用SYSTEM開的

另外smss.exe是木馬...Orz

作者: 幻影神兵 時間: 07-7-26 21:14

原文由迷糊小書僮 於 07-7-26 09:01 PM 發表
smss.exe -- ?? (必須是user而非system開啟的)是SYSTEM不是user吧...

我的電腦是用SYSTEM開的

另外smss.exe是木馬...Orz

我上述指的是木馬檔，我修改一下。

作者: 小黑旺旺 時間: 07-7-26 21:14
這個人中毒重很大@@要清理會很麻煩!!還有你的SOUNDMAN可能中毒了因為我得是小寫@@
我去找人一起來幫忙!!

[ 本文最後由小黑旺旺於 07-7-26 09:19 PM 編輯 ]

未命名1.jpg

作者: 幻影神兵 時間: 07-7-26 21:15

原文由小黑旺旺 於 07-7-26 09:14 PM 發表
這個人中毒重很大@@要清理會很麻煩!!還有你的SOUNDMAN可能中毒了因為我得是小寫@@
我去找人一起來幫忙!!

大小寫與木馬並無實際影響或差異

要看的是它連接的東西以及執行者。

（我還看過soundman.exe變成 SounDMan.Exe的咧@3@)

作者: 小黑旺旺 時間: 07-7-26 21:20
可是我以前便成大寫時它裡面有藏側入程式~"~
難道是我比較不好運剛好被放=口='

作者: 幻影神兵 時間: 07-7-27 08:42

原文由小黑旺旺 於 07-7-26 09:20 PM 發表
可是我以前便成大寫時它裡面有藏側入程式~"~
難道是我比較不好運剛好被放=口='

有些變大寫是怕木馬放入 system 資料夾中，
剛好有同名的檔案
因此會故意把檔名亂改大小寫，

不過我記得設定中是有一個看大小寫的選項
不過忘記在哪裡設定的了=__=|||
（基本上是沒差啦，要看的是路徑）

作者: 呆翰 時間: 07-7-27 15:17
那我....

現在該怎做勒...

聽的物煞煞了....

作者: 幻影神兵 時間: 07-7-27 17:16

原文由呆翰於 07-7-27 03:17 PM 發表
那我....

現在該怎做勒...

聽的物煞煞了....

你把你開 HijackThis 跟SREng 的情況拍照出來
你說無法啟動是什麼樣的狀況

歡迎光臨鐵之狂傲 (https://gamez.com.tw/)