鐵之狂傲

標題: 拜託懇請求救一下~~~謝謝 [列印本頁]

作者: 戰神漢堡 時間: 04-9-4 19:49
標題: 拜託懇請求救一下~~~謝謝
我之前有發過文就是電腦一直重開機後來我重灌了XP 終於部會重開機了
但是重灌完之後網路真的慢到不行然後數據機一直狂閃後來我看前幾篇文章
剛好也有跟我一樣的問題於是我就跑去掃毒結果真的掃出了一個結果我按檔案修復不能修復
然後按刪除它就說無法寫入不能刪除後來我跑去病毒小百科看是蝦米病毒
結果寫了一堆英文大概的意思就是說有人入侵我的電腦請問各位大大該怎麼刪除阿
請說明簡單或詳細一點不好意思我不太懂電腦謝謝

作者: whispering 時間: 04-9-4 20:30
標題: 回覆: 拜託懇請求救一下~~~謝謝
因為此時您仍處於 WinXP 的保護模式中，因此無法刪除。

請於開機載入 WINXP LOGO時按F8 會出現一選單選擇『安全模式』於進入安全模式後，再刪除之即可。

請善用安全模式，往後若您有遇到如驅動程式的衝突問題亦可藉該模式移除。

作者: winnerha 時間: 04-9-4 20:37
標題: 回覆: 拜託懇請求救一下~~~謝謝
先結束處理程序在找到目標物 DEL

開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
DEL 目標物

作者: 戰神漢堡 時間: 04-9-4 21:16
標題: 回覆: 拜託懇請求救一下~~~謝謝
感謝大大的回覆我想再請教一下病毒是W32.Spybot.Worm
請問一下從安全模式怎麼移除阿＠＠
而從處理程序那邊我不知哪個是那個病毒的程式勒＠＠該怎半阿
抱歉我對電腦很遜請大大教一下謝謝

作者: winnerha 時間: 04-9-4 21:21
標題: 回覆: 拜託懇請求救一下~~~謝謝
開始->執行->CMD.EXE [ENTER] (開啟Command line 視窗)
DEL "目標物的路徑\目標物"

作者: winnerha 時間: 04-9-4 21:25
標題: 回覆: 拜託懇請求救一下~~~謝謝
W32.Spybot.Worm 是透過 KaZaA檔案分享和mIRC擴散的蠕蟲，也會透過受感染電腦的後門而擴散。
藉由連上特殊設定的IRC Server，，W32.Spybot.Worm可以執行不同後門功能，加入不同的頻道傾聽指令。
中文：W32.Spybot.Worm的變種會使用下面弱點進行擴散：
• MS03-026 ( http://www.microsoft.com/technet/security/bulletin/MS03-026.mspx ) 使用 TCP port 135 的 DCOM RPC 弱點。
• MS04-011 (http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx ) 微軟本機安全性認證服務遠端緩衝區弱點
• MS02-061 ( http://www.microsoft.com/technet/security/bulletin/MS02-061.mspx ) 使用 UDP port 1434 MS-SQL 2000或MSDE 2000驗証弱點
• MS03-007 ( http://www.microsoft.com/technet/security/bulletin/MS03-007.mspx )使用 TCP port 80 的 WebDAV 弱點
• MS01-059 ( http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx ) UPnP 通知緩衝區弱點
• MS03-049 ( http://www.microsoft.com/technet/security/bulletin/MS03-049.mspx ) 使用 TCP port 445 的工作站服務緩衝區溢位弱點，Windows XP 的使用者只要有安裝 MS03-043 ( http://www.microsoft.com/technet/security/bulletin/MS03-043.mspx ) 就可以避免此弱點，Windows 2000 用戶必須安裝 MS03-049

別名 Worm.P2P.SpyBot.gen [Kaspersky], W32/Spybot-Fam [Sophos], W32/Spybot.worm.gen [McAfee], WORM_SPYBOT.GEN [Trend], Win32.Spybot.gen [Computer Associates]

型態蠕蟲
感染長度不一定
受影響系統 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
不受影響系統 DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x

損害：
1. 將個人資料送到 IRC 頻道
2. 在受感染電腦上執行未經認證的命令

When W32.Spybot.Worm 會執行下面命令：
將自己拷貝到 %System% 資料夾（C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 或 C:\Windows\System32 (Windows XP). ）
1. 在 KaZaA檔案分享網路上，下面登錄機碼上新增資料，建立分享資料夾：
HKEY_CURRENT_USER\SOFTWARE\KAZAA\LocalContent
新增下面資料
"dir0"="012345:<configurable path>"
2. 將自己拷貝到設定的路徑，設定觸發，讓使用者下載和執行蠕蟲。
3. 對特定伺服器作DoS攻擊（Denial of Service，服務阻段）。
4. 將安全性產品程序停止執行。
5. 連上IRC伺服器，加入頻道，接收命令，將蠕蟲加入 [開始 / 程式集 / 啟動] 資料夾，例如：
Documents and Settings\All Users\Menu Start\Programma's\Opstarten
WINDOWS\All Users\Start Menu\Programs\StartUp
WINNT\Profiles\All Users\Start Menu\Programs\Startup
WINDOWS\Start Menu\Programs\Startup
Documenti e Impostazioni\All Users\Start Menu\Programs\Startup
Dokumente und Einstellungen\All Users\Start Menu\Programs\Startup
Documents and Settings\All Users\Start Menu\Programs\Startup
賽門鐵克安全性回應會報告說此資料夾會有 0 byte 檔案，名稱為 TFTP780或TFTP###，# 是任意數字。
6. 在下面機碼加入任意登錄值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

例如加入下面值：
"Microsoft Update" = "wuamgrd.exe"
7. 在系統資料夾紀錄使用者按過的鍵盤。
8. 送出使用者資料，例如作業系統、IP位址、使用者名稱、IRC伺服器、、、等。
9. 開啟後門port。
10. 透過上述弱點擴散。

手動移除方法

1. 關閉 [系統還原] 功能 (只有 Windows ME/XP 有此功能)

如果您不會關閉，Windows ME 請參考
http://service1.symantec.com/SUP ... id/2001012513122239
Windows XP 請參考
http://service1.symantec.com/SUP ... id/2001111912274039

2. 更新病毒碼To update the virus definitions

3. 重新啟動電腦，到安全模式（Windows 95, 98, Me, 2000, or XP），或VGA模式（Windows NT 4）。如果您不會進入安全模式，請參考
http://service1.symantec.com/SUP ... amp;src=sec_doc_nam

4. 掃描並刪除受感染檔案，紀錄檔案名稱。

5. 刪除下面登錄值：
a. 點選 [ 開始 / 執行 ]
b. 輸入 regedit，按下 [確定] 鈕，會跳出 [登錄編輯程式]
c. 找到下面機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
d. 在右邊面板，刪除受W32.Spybot.Worm感染的檔案。（剛剛紀錄的）
e. 找到下面機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
f. 在右邊面板，刪除步驟d發現的檔案名稱。
g. 找到下面機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
h. 在右邊面板，刪除步驟d發現的檔案名稱。
i. 找到下面機碼
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
j. 在右邊面板，刪除步驟d發現的檔案名稱。
k. 跳出登錄編輯程式。

6. 刪除 [啟動] 資料夾中 0 byte 檔案

(1). Windows 95/98/Me/NT/2000
a. [ 開始 / 搜尋 / 檔案或資料夾]
b. 在 [尋找在] 欄位輸入 C:
c. 在 [檔名] 或 [尋找] 欄位輸入tftp*.*
d. 按下 [立即搜尋] 鈕
e. 在資料夾名稱結束為 [啟動] 的資料夾中，刪除0 byte檔案。

(2) Windows XP
a. [ 開始 / 搜尋 / 檔案或資料夾]
b. 按下 [所有檔案和資料夾] 鈕
c. 在 [部份或完整的檔案名稱]欄位中輸入tftp*.*
d. 在 [尋找在] 欄位輸入 C:
e. 按下 [進階選項]
f. 勾選 [系統資料夾]
g. 勾選 [搜尋子目錄]
h. 按下 [搜尋] 鈕
i. 在資料夾名稱結束為 [啟動] 的資料夾中，刪除0 byte檔案。

作者: 牛奶奶~ 時間: 04-9-5 10:48
標題: 回覆: 拜託懇請求救一下~~~謝謝
手動移除阿...
好麻煩阿...
我都是丟給防毒~他會幫我砍~~

作者: AQ 時間: 04-9-5 11:00
標題: 回覆: 拜託懇請求救一下~~~謝謝
[QUOTE=牛奶奶~]手動移除阿...
好麻煩阿...
我都是丟給防毒~他會幫我砍~~[/QUOTE]
有些毒防毒軟體只能幫你隔離，可是毒還是存在，必須用手動的方式才刪的掉歐。

歡迎光臨鐵之狂傲 (https://gamez.com.tw/)