鐵之狂傲

 取回密碼
 註冊
搜尋

切換到指定樓層
1#
如題˙ˇ˙

我在我的工作管理員裡面的處理程序
發現一堆名字一樣的執行檔
svchost.exe
起碼有六個以上
使用者名稱有:
LOCAL SERVICE
NETWORK SERVICE
SYSTEM

這是啥檔案阿
總覺得怪怪的同樣名稱執行檔高達6個..

以上這是思念的情況其餘被盜帳號者也都是這情況
首先到開始~>執行regedit會看到登陸編輯程式 如有下列3種程式
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
將這3種機馬刪除 後重開機 掃毒 刪除病毒
上雲起關網改密碼  改玩之後用此連結下載掃毒程式
ftp://ftp.download.com/pub/win95/utilities/aaw6181.exe
用法:(這掃毒程式比較強)
1.先下載完安裝好
2.啟動程式,看到畫面左邊有好幾個按鈕這時候選第2個.
3.這時中間會出現有3個選項的框框,選第2個,然後再按右下角那個按鈕,開始掃描。
4.掃描完如果有出現好幾個名稱,那就是你中了那些病毒的名字,然後再那些病毒名稱左邊的小框框每個都打勾,好了之後請按NEXT,之後會出現一個框框裡面都是英文字的這時候請選確定(英文的).


已證明關網有木馬
我剛剛上關網更改密碼之後掃毒發現4個˙ˇ˙



嘎嘎....以上所敘述的方法....已經沒用了xd
盜帳者已經算是神人了

[ 本文最後由 藍月光 於 06-8-25 10:26 AM 編輯 ]
 
風飄絮落.雲空如畫.你.怎麼會不愛這個世界?
即便山河再美.映我眼裡仁是黑白.
即便花葉凋零.於我目中依然艷麗.
我的心已有缺陷.我的愛以無剩餘.
又何來多餘未給予的真情.奉獻給這世界?


藍月光的部落格
轉播0 分享0 收藏0

回覆 使用道具 檢舉

總評分:  聲望 + 3   檢視全部評分
宇文烈    發表於 06-8-23 11:25 聲望 + 1 枚
n052777086    發表於 06-8-12 19:18 聲望 + 1 枚
gillian1662  我很贊同  發表於 06-8-10 11:00 聲望 + 1 枚

這個殺毒的我用過...只能用好用來形容^^

我很少發文,也不會加聲望...不過我會多學一下,多常常來的,等我會了,一定幫你加
 
小莊

回覆 使用道具 檢舉

原文由 MoonElf 於 06-8-14 01:02 AM 發表
建議最好不要這樣做!!

首先..
svchost.exe為windows重要的系統檔案,
但是木馬病毒也很愛冒用這檔名,
當你無法確定該檔案是正常檔案還是假檔案,
全� ...



沒有錯
這些svchost.exe是電腦本身的
擬砍了之後
嘿嘿
會無法上網,無法正常關機...等

木馬應該是
svhost32.exe
如果沒記錯應該是這個
反正沒有c而且有多一個32,跟svchost.exe跟長的很像的

[ 本文最後由 barock00 於 06-8-22 10:47 PM 編輯 ]
 

回覆 使用道具 檢舉

沒錯~這位朋友電腦也不錯...像我就半調子˙ˇ˙
不過請放心 我是有經過查證的
 

回覆 使用道具 檢舉

我來利用我的電腦說明好了..
我使用win2000 sp4 並使用軟硬體2道防火強,
利用賽門鐵克,卡巴斯基,驅勢,f-secure,Ad-aware找不到木馬病毒環境,
附近還有win xp sp1和sp2 2台電腦,
3台電腦皆有svchost.exe和那3條機碼,
正常來說只要是windows就算是封閉型電腦,也都會有這4樣東西.

再來看圖說故事..
了解一下這3條機碼做什麼?
HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

1..HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run


你們可以核對藍箭頭地方,看我有沒有找錯.
這裡面只有1個,他是做什麼用?以下是網路找的資料.
「internat.exe」是 windows 為了非英語的 windows 版本能顯示鍵盤配置狀況(也就是輸入法切換),所提供的一常駐程式。
後面還有嘩啦啦一堆,有興趣自己找.

2..HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run


這東西多了點,編號解釋一下..
   1和6是賽門鐵克防火強和防毒的一些東西
     2和3是windows運算用的東西
     4是顯示卡工具程式
     5是音效卡工具程式
     7是RealPlayer的東西
本來裡面還有印表機工具.系統備份,磁碟監控等等,好幾個機碼,
覺得佔記憶體,都被我砍掉了.

3..HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run


同上..自己看.


所以要砍光光?再考慮看看吧...

另外告訴一個小知識..
假設..今天你利用掃毒程式找到一個木馬叫"木馬A.EXE"
而且"木馬A"是利用以上機碼來做載入,
那你可能在機碼內看到這樣的東西..


你可以把"木馬A"這條機碼刪除,
那開機"木馬A"就不會運作,但是"木馬A.EXE"這木馬仍存在,只是不會動.
反過來說..
如果一開始找到就把"木馬A.EXE"這程式給砍了,
那機碼內的"木馬A"那個機碼,不管他也無所謂,因為程式都沒了.

木馬載入方式非常多,上面是打比方,必須依實際狀況來處理才是正確的.

[ 本文最後由 MoonElf 於 06-8-14 10:31 PM 編輯 ]
 
愛麗沙 優雅的世界

回覆 使用道具 檢舉

HKET_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HEKY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

以上這3個機馬代表木馬 不是正常運作的程式 所以殺掉沒關係
 

回覆 使用道具 檢舉

建議最好不要這樣做!!

首先..
svchost.exe為windows重要的系統檔案,
但是木馬病毒也很愛冒用這檔名,
當你無法確定該檔案是正常檔案還是假檔案,
全砍了一定會造成某些程式發生問題.
再來機碼部份..
所列出的路徑為windows開機必須先載入的一些程式,
如音效卡驅動,顯示卡工具,防毒驅動等等...
當然部份木馬載入也會利用這地方,
如果全砍了後果自己想.

最正確的方式是利用各大掃毒軟體或網站掃毒,
掃到如果可以自動幫你砍最好,
不行再利用網路搜索別人經驗來解決.
 

回覆 使用道具 檢舉

原文由 煞氣熊仔 於 06-8-13 01:16 發表
刪除那些Run嗎
刪除那些對電腦會有傷害嗎?



不會  那本就是危害你電腦的程式你刪了會讓你電腦2度受害嗎?
 

回覆 使用道具 檢舉

刪除那些Run嗎
刪除那些對電腦會有傷害嗎?
 

回覆 使用道具 檢舉

...........................THX
 

回覆 使用道具 檢舉

你需要登入後才可以回覆 登入 | 註冊

存檔|手機版|聯絡我們|新聞提供|鐵之狂傲

GMT+8, 24-12-25 09:24 , Processed in 0.030370 second(s), 23 queries , Gzip On.

回頂部