史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)
-   -   求救開機就中毒又殺不掉....Trojan-Downloader.Win32.Agent.bdd (http://forum.slime.com.tw/thread200669.html)

bi_510 2007-03-22 12:55 PM
求救開機就中毒又殺不掉....Trojan-Downloader.Win32.Agent.bdd
 
我用卡巴但是最近開機就出現

C:\WINDOWS\system32\zmgev.dll;
C:\WINDOWS\SYSTEM32\DRIVERS\PEUVA.SYS
已被病毒 Trojan-Downloader.Win32.Agent.bdd 感染;
無法刪除,物件已攔截將在系統啟動時刪除

慘的是殺不掉就連進入安全模式也不行


不知重灌有沒有效....救命阿....:on_22: :on_51:

plunderer 2007-03-22 01:13 PM
兩個辦法:
1.執行 regedit 進入登錄檔, 搜尋 zmgev.dll 及 PEUVA.SYS, 將找到的鍵及值全部刪除(若無法刪除, 試試以安全模式登入再刪), 然後重開機, 直接刪除那兩個檔案





2 用 HiJackThis 掃描
http://www.trendsecure.com/portal/en...ackThis_v2.exe
把 log 貼上來

john860504 2007-03-22 05:06 PM
你有把卡巴斯基更新嗎? 每天都要喔! 這樣病毒就會被刪掉 電腦也慢慢好了~ 我家電腦也就是這樣:on_45:

bi_510 2007-03-25 11:02 AM
請問一下 啥是把 log 貼上來
是這個嗎 :on_28:

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 上午 10:57:11, on 2007/3/25
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Common Files\Filseclab\FilMsg.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\楊奇儒\My Documents\HiJackThis_v2.exe

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: 運行迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 運行迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O14 - IERESET.INF: START_PAGE_URL=tw.yahoo.com
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/regist...007/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13BE1E3E-5978-42F5-9C39-0E9DF8EF1E64}: NameServer = 210.200.211.193 210.200.211.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{87890998-4964-4B79-91E3-3BCB9231A394}: NameServer = 210.200.211.225,210.200.211.193
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Network IPSEC Connections (8NASCAR) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

--
End of file - 3689 bytes

plunderer 2007-03-25 02:00 PM
你之前有清理過? 看起來只有
O23 - Service: Network IPSEC Connections (8NASCAR) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
不正常, 但檔案已被刪除


可能有其他隱藏的程序, 檔案, 服務, 鍵值, 這些在正常模式下都看不見

用 BlackLight 掃描看看, 若發現有隱藏的檔案, 可在步驟2 將其更名, 重開機後再手動刪除更名後的檔案 (*.ren)
https://europe.f-secure.com/exclude/...ght/blbeta.exe

但rootkit 的登錄檔鍵值還是必須在安全模式下手動清理, 此時可參照 BlackLight 掃描後的 log, 看是哪些檔名

但有另一種可能,就是安全模式下也會載入 rookit, 如此即使在安全模式下, 依然找不到其鍵值, 那就必須以另一帳戶登入安全模式來清除

不知道 2007-03-25 06:54 PM
引用:
轉貼自 微風論壇-amosme 發表

[防毒防駭]norton 不夠看.卡巴靠邊站..史上最強全方位防護軟體

【 軟體名稱】:avast! v4.7
【軟體分類】:病毒防治
【軟體性質】:專業版
【檔案大小】:10.52mb
【放置空間】:官網直接載點如下 :
【繁體下載點】:http://files.avast.com/iavs4pro/setupchtpro.exe
【簡體下載點】:http://files.avast.com/iavs4pro/setupchspro.exe
【英文版下載點】:http://www.avast.com/eng/download-avast-home.html
[面版下載](官方網站) http:/http://www.avast.com/eng/skins.html
【軟體介紹】:avast是一套可以清除
蠕蟲型病毒、木馬程式、間諜程式、廣告軟體等等惡意程式的軟體,
功能強大而且完全免費。它的使用非常簡單,啟動之後只要按下「Start scanning」就行了。
Virus bulletin的 VB100% 獎就拿了15次,另外不僅得到了2005年ICA實驗室認證還得到了微軟的穩定性認證。

看到很多朋友說沒聽過這套軟體.特此說明.它是歐洲的防毒軟體.要知到這套軟體其他資訊.請用google搜尋就有一堆關於它的一些資訊.還有呀.我明明就有提供繁體中文版的載點..一直跟我說英文版不會用是怎樣? =.=" 補充說明.它可以跟NOD32共存不會衝到.卡巴雞雞跟MA的那套不可以跟它共存..不然一定當.(相衝).還有呀.它雖然沒有所謂的防火牆.但它的啟髮式觸動偵測攔截比內建XP的防火牆更猛. [12/22補述]
試試這套吧
小弟試的結果還不錯

<參考>


所有時間均為台北時間。現在的時間是 09:07 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1