鐵之狂傲»論壇 › 大廳 › 閒話家常【幫我個忙】 › 病毒- -"求救

最後更新

12 3 / 3 頁下一頁

【幫我個忙】病毒- -"求救

[複製連結] 檢視: 2893|回覆: 24

冰戀

超級版主

Rank: 4 Rank: 4 Rank: 4 Rank: 4

電梯直達

1^#

發表於 07-8-1 09:53:48 |只看該作者 |降序瀏覽大字中字小字正體化简体化

100鐵幣

發現: 特洛伊芳木馬程式 Trojan-PSW.Win32.Magania.oh 文件: C:\Documents and Settings\ANYONE\Local Settings\Temp\vk5q.dll
發現: 特洛伊芳木馬程式 Trojan-PSW.Win32.Magania.ox 執行模組: SERVICES.EXE\SERVICES.EXE

前一陣子好像就有掃到了..不過當時卡巴砍掉了..

大前天又出現，卡巴也砍掉了

今天早上玩完R2，關機讓電腦休息一下，再開起來時就一直叫

砍了重開機又重生，本來只有一隻木馬(oh)，到最後變二隻。oh的砍掉了，目前沒重生過，(ox)目前一直重生

昨天只開了巴哈還有巴x上面的r2攻略網，還有鐵傲而以

用費爾強力移除也沒用

請各位大大幫幫忙吧

最佳解答

幻影神兵檢視完整內容

C:\Program Files\Windows NT\SERVICES.EXE C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 上面兩個是有問題的執行檔 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows NT\SERVICES.EXE, 找到這個FIX掉然後重新開機後全機掃瞄看看 (那個FIX的本來應該是要從REGEDIT改的 ... 這裡FIX我怕會出問題>" ...

請大家幫忙投票喔！！
每天可以投一票
需先取得投票密碼
傳簡訊《SNOW》到55123（免費）
http://event.snowmilk.com.tw/201409/vote_before.php?sid=924&class_type=99&search_key1=924&Submit=搜尋&vote=0
&vote=0

轉播0 分享0 收藏0

回覆使用道具檢舉

幻影神兵

名望的英雄

2^#

發表於 07-8-1 09:53:49 |只看該作者大字中字小字正體化简体化載入全部圖片

C:\Program Files\Windows NT\SERVICES.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

上面兩個是有問題的執行檔

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows NT\SERVICES.EXE,

找到這個FIX掉

然後重新開機後全機掃瞄看看
(那個FIX的本來應該是要從REGEDIT改的 ... 這裡FIX我怕會出問題>"<)

FIX 時一定要備份下來哦 ...

[ 本文最後由幻影神兵於 07-8-1 11:16 AM 編輯 ]

回覆使用道具檢舉

小黑旺旺

無名的勇者

3^#

發表於 07-8-1 09:59:26 |只看該作者大字中字小字正體化简体化載入全部圖片

冰戀大大這有可能是會還原的木馬~"~
因為會還原的木馬
除非病源砍掉不然她會一之生
可以試著去安全模式
掃毒加殺毒!!

回覆使用道具檢舉

冰戀

超級版主

Rank: 4 Rank: 4 Rank: 4 Rank: 4

4^#

發表於 07-8-1 10:09:21 |只看該作者大字中字小字正體化简体化載入全部圖片

好像進不到安全模式- -"

回覆使用道具檢舉

幻影神兵

名望的英雄

5^#

發表於 07-8-1 10:14:40 |只看該作者大字中字小字正體化简体化載入全部圖片

冰姐，
【如果有打開系統還原，就先關閉（通常應該都關了吧）】

打開工作管理員 > 找services.exe (使用者必須為自己電腦)，關閉
然後開始>執行>regedit
找到
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
或者
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
的地方，找看看有沒有執行 services 的機碼（位置可能跟你掃瞄出來的木馬一樣）

>>補充：或者很特殊的 .exe 檔，若不確定請貼名字出來~

如果有就整個刪除掉它

接著關閉網路直接做全機掃瞄，把掃到的全部刪除。

回覆使用道具檢舉

冰戀

超級版主

Rank: 4 Rank: 4 Rank: 4 Rank: 4

6^#

發表於 07-8-1 10:24:15 |只看該作者大字中字小字正體化简体化載入全部圖片

系統還原關了

可是打開工作管理員，關不了SERVICES.EXE

[ 本文最後由冰戀於 07-8-1 08:24 PM 編輯 ]

回覆使用道具檢舉

幻影神兵

名望的英雄

7^#

發表於 07-8-1 10:27:33 |只看該作者大字中字小字正體化简体化載入全部圖片

原文由冰戀 於 07-8-1 10:24 AM 發表
系統還原關了

可是打開工作管理員，關不了SERVICES.EXE

沒錯=__= 那個應該就是木馬程序
那你有找到機碼 run 之下有 SERVICES.EXE 的啟動指令嗎？

另外，關於「關不了」是怎樣的情況？有警告還是任何提示嗎？

回覆使用道具檢舉

冰戀

超級版主

Rank: 4 Rank: 4 Rank: 4 Rank: 4

8^#

發表於 07-8-1 10:33:20 |只看該作者大字中字小字正體化简体化載入全部圖片

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
(沒找到)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Run下面沒有)

[ 本文最後由冰戀於 07-8-1 08:25 PM 編輯 ]

回覆使用道具檢舉

幻影神兵

名望的英雄

9^#

發表於 07-8-1 10:36:05 |只看該作者大字中字小字正體化简体化載入全部圖片

原文由冰戀 於 07-8-1 10:33 AM 發表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
(沒找到)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(Run下面沒有)

冰姐姐 ...
你找錯地方了XD"

是CURRENT_USER
跟LOCAL_MACHINE
哦～（不過USER內通常都不會有啦，都卡在MACHINE裡面，
畢竟作木馬的也不知道你有幾個使用者，乾脆不管，就直接開機執行）

居然是這種會偽裝警告的木馬..
----------------------------
另外找到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
這個地方，然後看右邊的機碼裡面

Userinit 這個名稱下，正常應該是X:\WINDOWS\system32\userinit.exe
你看看後面有沒有被"加料"，有的話就把後面的刪除掉(右鍵修改)

[ 本文最後由幻影神兵於 07-8-1 10:39 AM 編輯 ]