史萊姆論壇 - 中了特洛伊木馬xphlp.dll

史萊姆論壇 (http://forum.slime.com.tw/)

- 軟體應用問題討論區 (http://forum.slime.com.tw/f5.html)

- - 中了特洛伊木馬xphlp.dll (http://forum.slime.com.tw/thread176053.html)

中了特洛伊木馬xphlp.dll

我用卡巴掃到了C:\WINDOWS\system32\xphlp.dll 特洛伊~有影響的好像只有網路連不上去呀，安全模式可以上的去，不過卻掃不掉檔案，權限不足跟使用中~
之後我把硬碟安裝到別台電腦去終於殺掉病毒可以還是無法連接網路而且安全模式也無法連接
不過我用PING http://tw.yahoo.com/ 它顯示下列資訊
Pinging tw-fo.yahoo-ap1.akadns.net [XX.XX.XX.XX] with 32 bytes of data:

Reply from 202.43.195.52: bytes=32 time=12ms TTL=51
Reply from 202.43.195.52: bytes=32 time=48ms TTL=55
Reply from 202.43.195.52: bytes=32 time=49ms TTL=55
Reply from 202.43.195.52: bytes=32 time=48ms TTL=55

Ping statistics for 202.43.195.52:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 12ms, Maximum = 49ms, Average = 39ms

這應該是可以連上yahoo才對可以我用IE 還是無法開啟網頁請問我該如何處理

這二位網友在別的論壇回答泥的方法都可

1.用2000或XP光碟開機
使用主控台修復
登入之後輸入
cd windows
cd system32
del xphlp.dll

2.若C 槽為FAT32 格式,找片DOS 開機片開機...
A:\CD C:\WINDOWS\system32\
C:\WINDOWS\system32>del xphlp.dll
重開機

3.不能上網時,泥可以在命令提示字元打ipconfig /all
在命令提示字元下,打netstat -n
本機電腦有很多連線,或開很多port嗎

4.ie不能用,用其它的瀏覽器可用嗎,例如firefox等
泥可以清除temp檔,或重裝ie,最好是用ad-aware等軟體再掃一下
真的不行重灌也很快

泥真的是1986年次嗎

一、修改檔案名稱
先行到C:\Windows\System32\下找出中毒的檔案，將此檔案改個名稱，請先行記住此檔案的名稱，在第二步驟上需用到。
二、製作假檔案
開記事本(記得副檔名要取消)，存檔為中毒的檔案名稱，副檔名也要一併的更改(.dll)，並對檔案改為唯讀，再把自作的中毒檔案放在中毒的同一位置，重新開機。
三、刪除真中毒檔案
重新開機後會顯示一應用程式錯誤 (C:\Windows\System32\*.dll為不正確)可不必理會，再到C:\Windows\System32\把被您(妳)自己改過名稱的原中毒檔案刪除。並將其關機(切記勿重新開機)。而自行自作的假病毒檔是為了要騙取駭客再次將病毒植入電腦裡。
四、關機→開機
正確的關機，是為了將最後一次完美的情況儲存。再次開機如有再發生應用程式錯誤之訊息，請下載 HijackThis程式，可以掃瞄清除機碼。http://www.spywareinfo.com/~merijn/files/hijackthis.zip
下載安裝後，執行選用 "Do a system scan"
掃瞄後，把有關svchost.exe 打勾就好，其他的不要勾，然後按 "fix checked" -> yes
五、範例解毒
Ex本人某日中了一駭客TSPY，病毒檔為C:\Windows\System32\Wydll.dll
Sol(1)將Wydll.dll→1123456.dll。
(2)開記事本，存為Wydll.dll→重新開機。
(3)重開後出現一錯誤訊息→按確定；刪除123456.dll，並使用防毒軟體完全掃毒，會見著一堆在C:\System Volume Information\有一堆病毒檔遭隔離，那些是駭客植入的，將其刪除就可，關機。
(4-1)開機後一切正常
(4-2)開機後還是出現錯誤訊息→按確定，下載 HijackThis程式刪除機碼。
六、附註
(1)*.dll：*代表為一不確定之英文。
(2)更改副檔名：工具→資料夾選項→檢視→將隱藏已知檔案類型的副檔名打勾取消。
(3)檔案屬性：檔案→滑鼠右鍵→內容→唯讀打勾，保存取消。
(4)很多人會去更改登錄編輯器內的Run，但並非所有啟動程式全在此處，而且更改有誤，會倒至電腦無法運作，本人是不贊成不會高階系統者使用。
(5)很多人會將svchost.exe與svchost32.exe搞錯，有數值的是表示已經被植入駭客了。誤將svchost.exe此程式關掉，會倒至倒數讀秒並自行重新開機。
(6)關掉系統還原→使用安全模式下，雖然可以將其病毒檔案砍除，但回到正常Windows下，還是會一眛的出現中毒。
(7)此法只是小的鑽研多日的理論寫出的中文解法，以讓看不懂的網友有個中文查看，如有誤觸到趨勢的官方英文解法，還請見諒。