史萊姆論壇 - 中毒了!!請求各位大大幫忙^^

史萊姆論壇 (http://forum.slime.com.tw/)

- 一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)

- - 中毒了!!請求各位大大幫忙^^ (http://forum.slime.com.tw/thread116022.html)

中毒了!!請求各位大大幫忙^^

小妹的電腦中毒嚕~:56gtyhu:
中毒ㄉ檔案無法隔離~也無法殺掉~
而且諾頓又一直會顯示~也關不掉~
也試過一些網路的解毒方法~
結果都沒用~請求各位大大幫忙一下~:56gtyhu: :56gtyhu:

病毒名稱 : backdoor.coreflood
中毒檔案 : webvbhsz.dll
防毒軟體 : 諾頓 2003
作業系統 : win 2000

再三懇求各位大大伸出援手~救救可憐ㄉ小妹:56gtyhu:

1.Disable System Restore (Windows Me/XP). 把系統還原關掉
2.Update the virus definitions. 更新norton(live update)
3.Restart the computer in Safe mode or VGA mode. (重開機按f8,選安全模式)
4.Run a full system scan and delete all the files detected as Backdoor.Coreflood. (防毒做全掃瞄)
5.Delete the value that was added to the registry.

Click Start, and then click Run. (The Run dialog box appears.)
Type regedit, and then click OK. (The Registry Editor opens.) (按左下方開始,點執行打上regedit)
Navigate to the key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

In the right pane, delete the value that refers to the filename detected as Backdoor.Coreflood.(把壞東西砍了像是Backdoor.Coreflood）

Exit the Registry Editor.（離開)完成

剛剛試e大大的方法了~:dcft689kj
還是沒辦法隔離病毒和刪除檔案~:56gtyhu:
在此還是很感謝大大所提供ㄉ方法~:bj375mg:

也希望各位大大能再提供更多ㄉ方法:56gtyhu: :56gtyhu:

如果你的英文好
或是能找到英文好的人幫忙

這裡是英文版的詳細解決方案http://securityresponse.symantec.com...coreflood.html

如果無法解決
不如 format 重灌

引用:

原文由 ncit3 所發表
剛剛試e大大的方法了~:dcft689kj
還是沒辦法隔離病毒和刪除檔案~:56gtyhu:
在此還是很感謝大大所提供ㄉ方法~:bj375mg:

也希望各位大大能再提供更多ㄉ方法:56gtyhu: :56gtyhu:

1.先把中毒的檔名捷近抄起來.

2.用開機片開機.

3.把中毒檔殺掉.

這樣在殺不掉的話.別管它了.:defft67jn

各位大大所提供ㄉ方法還是都不行嚕~:56gtyhu: :56gtyhu: :56gtyhu:
唉唉~最後小妹採用的方法~
只有把此檔案加入"自動防護排除"了~
這樣暫時諾頓就掃不到鴉
電腦也可以順利運作嚕~
(中毒後..啟動諾頓自動防護時..電腦就無正常運作..而且會一直出現中毒的視窗..也無法關不掉..)
反正小妹的電腦中也沒什麼重要檔案~
要偷要看~就隨駭客吧~ :ddrf567h:
現在只好等更新的病毒檔~看看是否能解嚕~:sxde45fty

真不知道webvbhsz.dll這郭檔是什麼東西~
無法殺也無法刪除~唉唉~

在此也感謝didi.Phantom.異端神.kiltw以上各位大大的熱心幫忙~:ddrf567h: :ddrf567h: :ddrf567h:
史萊姆果然是一郭充滿溫暖的地方~:bj375mg:

引用:

原文由 ncit3 所發表
只有把此檔案加入"自動防護排除"了~
這樣暫時諾頓就掃不到鴉

妳這樣做有點危險耶~ 這樣等於是把這一隻木馬略過, 不做掃瞄...

到下面去抓 HijackThis , 執行後, 按 [Scan] , 然後再按 [Save log] ,
再將這個 log 檔案的內容貼上來, 讓大家幫你分析一下...

HijackThis 是一個分析工具，它可以幫你分析啟動的程式及目前處理的程序，
也可以將 IE 所用到的外掛、工具列、右鍵選單所有可疑的程式一一列表出來，
讓您判斷哪個程式是惡意程式，再把它給移除！

HijackThis Download:
http://ftp.nctu.edu.tw/ftp/Vendors/S...hijackthis.zip
http://ftp.isu.edu.tw/Windows/softki...hijackthis.zip

引用:

原文由 ncit3 所發表

真不知道webvbhsz.dll這郭檔是什麼東西~
無法殺也無法刪除~唉唉~

根據我上網查的資料

此木馬程式會隨機任意取名字
產生 *.exe 和 *.dll 檔案
因此你的電腦中應該有一個 webvbhsz.exe 檔案
這個也要刪除

最好還是一勞永逸
重灌吧

引用:

原文由 GaMNiA 所發表
妳這樣做有點危險耶~ 這樣等於是把這一隻木馬略過, 不做掃瞄...

到下面去抓 HijackThis , 執行後, 按 [Scan] , 然後再按 [Save log] ,
再將這個 log 檔案的內容貼上來, 讓大家幫你分析一下...

HijackThis 是一個分析工具，它可以幫你分析啟動的程式及目前處理的程序，
也可以將 IE 所用到的外掛、工具列、右鍵選單所有可疑的程式一一列表出來，
讓您判斷哪個程式是惡意程式，再把它給移除！

HijackThis Download:
http://ftp.nctu.edu.tw/ftp/Vendors/S...hijackthis.zip
http://ftp.isu.edu.tw/Windows/softki...hijackthis.zip

以下的內容是小妹用大大所提供的軟體偵測出來的..

Logfile of HijackThis v1.98.0
Scan saved at 下午 07:05:53, on 2004/7/6
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINNT\Mixer.exe
C:\WINNT\system32\tran.exe
C:\Program Files\Messenger Plus! 3\MsgPlus.exe
C:\WINNT\system32\ctfmon.exe
D:\Program Files\Object Desktop\WindowBlinds\wbload.exe
C:\WINNT\System32\PPPoEWIn.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Program Files\Common Files\Microsoft Shared\SPEECH\sapisvr.exe
I:\Downloads\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: webvbhsz - {AD4FFFD7-2FB0-A652-E6AE-688BDFCB5EFE} - C:\WINNT\system32\webvbhsz.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [桌面文字透明] C:\WINNT\system32\tran.exe /R500
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] ; C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe
O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Super Rabbit Desktop Set] D:\Program Files\Super Rabbit\magicset\DS.EXE /Load
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [WindowBlinds] D:\Program Files\Object Desktop\WindowBlinds\wbload.exe auto
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用 FlashGet 下載 - D:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 全部使用 FlashGet 下載 - D:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CAA5E2A7-EFD7-4432-B852-9ABA5C0CC26C}: NameServer = 139.175.55.244 139.175.252.16

再次麻煩大大了^^

引用:

原文由 ncit3 所發表
以下的內容是小妹用大大所提供的軟體偵測出來的..

O2 - BHO: webvbhsz - {AD4FFFD7-2FB0-A652-E6AE-688BDFCB5EFE} - C:\WINNT\system32\webvbhsz.dll

你重新執行 HijackThis 後(不要執行 IE, 把所有 IE 視窗關閉), 然後按 [Scan] ,
把上面掃到的那一個項目勾選起來, 再按 [Fix Checked],
它會將這個項目刪除, 完成後需重新開機~

開機完後, 不要執行 IE (Internet Explorer), 直接執行檔案總管將
C:\WINNT\system32\webvbhsz.dll 這個檔案刪除即可...
(如果沒找到這個檔案, 表示已經被 HijackThis 隔離起來了)

最好再用 Ad-Aware 清除一下廣告/木馬軟體(需更新一下參考檔)...

P.S. 記得將 Norton 的 "自動防護排除" 改回來~