|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
|
|
2009-07-07, 07:38 AM
|
#1 (permalink) |
|
長老會員
 
|
你的 log 真是令人傻眼
 族繁不及備載, 沒辦法一一列出要刪除或修復的項目 1 執行 System Repair Engineer 在 "啟動專案" => "註冊表" 中刪除下列項目: <{750DBD56-AF03-47CB-BB28-BBF312B059F9}><C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon> [] <{AC933D46-96A7-4670-9292-E7C4126C071E}><C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon> [] <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon> [] <{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon> [] <{CD95107F-52A5-42A4-9914-18949993E798}><C:\WINDOWS\fonts\tY5UFS434YYd.fon> [] <{51F88A10-09E6-4763-948F-1C8861003255}><C:\WINDOWS\fonts\MqppW9KYn.fon> [] <{F1C149F4-380C-4F8A-B87E-7393732B27C1}><C:\WINDOWS\system32\GsfMwDWD3.dll> [] <{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}><C:\WINDOWS\system32\EN7hzSreCat8.dll> [] <{E45C0FF6-B170-43B2-B897-6D02C43A2E18}><C:\WINDOWS\system32\ybM7kf9heVHDx.dll> [] <{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll> [] <{A0C86020-5935-4B87-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll> [] <{39C1640B-E010-48CF-88A1-0D17A33AF9EA}><C:\WINDOWS\system32\dktXFYbT3G.dll> [] <{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll> [] <{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll> [] <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll> [] <{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll> [] <{56441985-D4E7-4D1F-BA3A-000C647FAA00}><C:\WINDOWS\system32\RhdwE8NYdbqQ.dll> [] <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll> [] 2 重新開機, 以安全模式登入windows, 然後用你的卡巴掃描整個硬碟, 刪除所有感染的檔案 3 再重新開機, 此時可能會出現錯誤訊息(也可能沒有), 但不至於影響使用 hijackthis 應該能用了, 掃描一次, 把 log 發上來 (System Repair Engineer 的 log 實在太囉唆了....) |
|
__________________ 刑天舞干戚
|
|
|
送花文章: 6,
+10 金幣
|
|
有 3 位會員向 plunderer 送花:
|
|
2009-07-08, 06:01 AM
|
#2 (permalink) | |
|
註冊會員
|
引用:
首先是我執行 System Repair Engineer勾選那些您說要刪除的檔案時,完全一個也刪不掉,刪了以後,病毒好像就會發作自動把該軟體關掉。我後來上網找了專掃特洛伊木馬的網頁、還有用卡巴斯基、以及一些去木馬軟體,通通都有捕捉到這些病毒群,依其軟體深入掃描性不同都至少有數十到上百個的錯誤檔案被捉出,可是我一旦要按刪除,如果是網頁,按的瞬間所有網頁就會全自動立即被關掉。如果是軟體,就會立即連explorer一起被清掉。 後來我重開機,病毒就發作了。一進入開機畫面,整個螢幕就變成像是霓虹燈一樣,迅速亮光七彩的閃動,然後用滑鼠一點,就會出現如下訊息:  我按確定後,就會自動出現一個「偽」的簡體字的線上購買卡巴斯基序號的網頁。這整個錯誤訊息以至於網頁我想大概都是病毒發作現象的一部份吧… 從此之後,固定每兩分鐘,整個全螢幕就會不斷七彩迅速換色閃爍,我得一直重覆的按確定,然後過兩分鐘又一樣的情形發生… 我c碟的資料是已經都備份完畢了,請問前輩目前除了重灌的方法,還有其它任何可能的挽救解毒辦法嗎? 這是此病毒連結出來的"偽"卡巴斯基購買畫面擷取照:  附帶一提,這病毒好像會限制開啟及安裝新的防毒軟體 我想開卡巴來掃毒,結果卻出現無法開啟的訊息… 這好像是一種新的變種病毒,是最近一兩個月才出來的,我剛才搜尋網路在"百度知道"裡"正在發問"中,看到有人和我一模一樣的典型情形: 待解决 救命!!电脑中毒了 悬赏分:30 - 离问题结束还有 14 天 15 小时 电脑先是彩屏 就是不断的红黄蓝等颜色一直跳 然后弹出个提示框说电脑严重中毒 必须立即使用最新杀毒清除病毒 点了确定后就弹出一个网站~http://...... 上面写的是下载卡巴斯基 用杀毒软件试了 删不掉!! 求高手帮忙!! 此帖於 2009-07-08 08:36 AM 被 wulom 編輯. |
|
|
|
送花文章: 63,
|
|
有 2 位會員向 wulom 送花:
|
|
2009-07-08, 12:43 PM
|
#3 (permalink) |
|
長老會員
|
API HOOK
RVA 錯誤: LoadLibraryA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: LoadLibraryExA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: LoadLibraryExW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: LoadLibraryW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: GetProcAddress (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) ---------------------------------------------------------------------- 有問題的是上面這個 kilf.sys 這是個假的卡巴斯基檔案,會置換掉卡巴真的檔案 趨勢的ICEEAN清的掉,清掉後重開機時 卡巴自動更新會自動在裝回正確的 上個月才剛清一台電腦中這隻病毒 |
|
__________________ 常被電腦玩 |
|
|
|
送花文章: 1413,
|
|
有 3 位會員向 october_pc 送花:
|
|
2009-07-08, 09:35 PM
|
#4 (permalink) | ||
|
註冊會員
|
引用:
我安裝了您說的趨勢的那個軟體,使用途中,掃到約75%時,就卡死住了,系統是沒有因此當掉,但不管放置多久,甚至數個小時,就變成沒有回應了。再試了幾次也是一樣會卡死…而沒有辦法解開那團難纏的病毒。  引用:
1.那些異常的註冊表如果要做任何的修改或刪除,均會出現「無法刪除」、「死當」、或「強制關閉該防毒程式的」任一種情形,等於是那一團壞檔案至今仍是完整的存在於c槽中,無法動其一根汗毛。 2.我欲以安全模式進入windows,不論是選擇單純的安全模式、或是含指令、含網路功能的安全模式,按確定後,電腦像dos模式那樣自動執行一些程序後的五秒鐘內,就一定會跳入英文藍底白字的死當畫面裡。試了很多次都一樣。現在那台電腦已經變成完全無法開機了,只能暫時用另一台電腦上網… 到這樣田地,厲害的前輩先進們不知還有無其它可嘗試的解決辦法? |
||
|
|
送花文章: 63,
|
|
有 2 位會員向 wulom 送花:
|
|
2009-07-08, 09:58 PM
|
#5 (permalink) |
|
長老會員
|
1
用 Wsyscheck http://mafia.myweb.hinet.net/file/Wsyscheck.zip "Tools" => "Fix Boot Safe Mod" 修復安全模式 重新開機, 看能不能進入安全模式 2, 若還是不能進入安全模式, 就用 XueTr http://mafia.myweb.hinet.net/file/XueTr.7z "文件" 列表中, 找出欲刪除的檔案, 按右鍵, "強制刪除" P.S 這兩個都是強效工具, 若不清楚用途, 切勿使用其他功能 |
|
|
送花文章: 6,
|
|
有 3 位會員向 plunderer 送花:
|
|
2009-07-08, 10:08 PM
|
#6 (permalink) | |
|
註冊會員
|
引用:
|
|
|
|
送花文章: 63,
|
|
有 2 位會員向 wulom 送花:
|
|
2009-07-08, 10:14 PM
|
#7 (permalink) |
|
長老會員
|
那只能用 winpe 光碟開機了 http://www.duote.com/soft/8624.html 簡體中文的 PE 系統功能比較齊全, 問題也較少 下載後燒成光碟, 把電腦 bios 設成 CD-ROM 開機就行了 此帖於 2009-07-08 10:32 PM 被 plunderer 編輯. |
|
|
送花文章: 6,
|
|
有 4 位會員向 plunderer 送花:
|
|
2009-07-08, 11:59 PM
|
#8 (permalink) | |
|
長老會員
|
引用:
先清掉API HOOK的問題在看安全模式能進嗎 這個軟體還不盡完善但還夠用 安裝完更新後可能會變亂碼 到右上第3格改成正體中文在掃描 可能要清2次...怪怪的 有些查到的API HOOK機碼要第2次才清的掉 清完後再用ICLEAN看看能動嗎 建議您註冊史萊姆...有很多資源能用 |
|
|
|
送花文章: 1413,
|
|
有 3 位會員向 october_pc 送花:
|
|
2009-07-08, 04:36 PM
|
#9 (permalink) |
|
長老會員
|
病毒不管新舊, 都能解決的, 重點是方法
上述步驟 1 只要能刪除 "註冊表" 值就行了 步驟 2 比較關鍵, 要以 安全模式登入windows 再以卡巴掃描, 才能刪除 其實你有卡巴了, 其他掃木馬軟體就多餘了 klif.sys 暫時別管它, 那不一定有問題 若卡巴在安全模式下無法掃描, 上述列出那些有問題的檔案在安全模式下也應該能直接手動刪除 若安全模式下還是不能做任何事, 那就用 winpe 光碟(必備, 修復系統很有用)開機, 再以光碟內的防毒軟體掃描硬碟 事實上你的問題不大, 只是處理的程序比較複雜, 要用上的工具軟體也比較多, 在論壇上沒辦法一步一步教你 |
|
|
送花文章: 6,
|
|
有 3 位會員向 plunderer 送花:
|
|
2009-07-11, 11:46 AM
|
#10 (permalink) |
|
註冊會員
|
這兩天用了a-squared Free掃含有風險的程式,cookies,及註冊表。一共掃到了近200個的木馬病毒檔案存在在各種路徑裡,原本單純使用軟體的刪除功能是刪不掉的,但plunderer前輩介紹的強效軟體XueTr真的很好用,我將它們全部依序手動刪除,並都使用了「強制結束進程並刪掉文件」的選項,真的不拖泥帶水,一刪就掉;刪完後發現這病毒發作的症狀也就消失得一乾二淨了。全刪完後,又用了數套軟體進行了全機掃描,這次連october大大推荐的趨勢的ICEEAN也可以成功跑完了。
所以困擾我數天的這頑強的病毒總算徹底清掉了,這個主題的核心部份,這次終於「已解決」了。再這裡要深深的感謝熱心提供、指點我各種實用救急軟體和處方的前輩、大大們。這中間有一點是plunderer前輩敏銳的發現我原本以為解決了的問題其實尚未解決,持續耐心的敘述很多解毒知識,並讓我能很快燒一塊winpe光碟進入系統解除安全模式,然後再用XueTr清除掃到的毒。因此最佳解答的部份,就選給那篇winpe提供點的文章,做為代表。 希望未來仍能有機會再向各位高手、達人請益電腦知識! |
|
|
送花文章: 63,
|
|
向 wulom 送花的會員:
|
混合模式
