史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)
-   -   唉唉!!!wincab.sys中毒 (http://forum.slime.com.tw/thread215893.html)

猜謎人 2007-09-10 06:28 PM

引用:

作者: getter (文章 1804245)
還好啦,當我中到這一隻,也是先殺在 ghost。
比用那個殺毒器簡單多了。

我還拿一個硬碟灌系統做中毒分析 + 研究 :on_74:

希望這篇能讓版胞們注意這隻可惡的傢伙

getter 2007-09-10 06:36 PM

引用:

作者: 猜謎人 (文章 1804268)
希望這篇能讓版胞們注意這隻可惡的傢伙

?? 可惡的傢伙 ?? 我也是受災戶ㄝ,我又不是病毒作者!!

我不用一個硬碟去做中毒分析,怎麼寫的出殺毒的批次檔 :on_77:

還是以後請中毒者請完整重灌吧。

JACK 2007-09-10 07:30 PM

引用:

作者: getter (文章 1804271)
?? 可惡的傢伙 ?? 我也是受災戶ㄝ,我又不是病毒作者!!

我不用一個硬碟去做中毒分析,怎麼寫的出殺毒的批次檔 :on_77:

還是以後請中毒者請完整重灌吧。

我想大大是誤會啦!
猜大應該是說這隻病毒啦!

getter 2007-09-10 07:47 PM

引用:

作者: JACK (文章 1804288)
我想大大是誤會啦!
猜大應該是說這隻病毒啦!

如果是這樣的話! 那還真是對不起呢 !!

猜謎人 2007-09-10 07:56 PM

引用:

作者: getter (文章 1804271)
?? 可惡的傢伙 ?? 我也是受災戶ㄝ,我又不是病毒作者!!

我不用一個硬碟去做中毒分析,怎麼寫的出殺毒的批次檔 :on_77:

還是以後請中毒者請完整重灌吧。

誤會!誤會啦!
我不是說大大你啦,我是說這隻病毒啦!

讓你誤會真是抱歉!:on_28::on_28::on_28:

其實真是感謝你的研究
讓我更了解我當時的錯誤
在此向你致謝
:on_28::on_28::on_28:

猜謎人 2007-09-10 08:17 PM

getter大大真是抱歉讓你誤解啦!我語意不清讓你誤會真是抱歉!
對於你的辛勞我感謝都來不及呢!
你真是造福我們這些受害者
鄭重向你致謝
:on_28::on_28::on_28::on_28:

getter 2007-09-10 08:43 PM

引用:

作者: 猜謎人 (文章 1804305)
getter大大真是抱歉讓你誤解啦!我語意不清讓你誤會真是抱歉!
對於你的辛勞我感謝都來不及呢!
你真是造福我們這些受害者
鄭重向你致謝
:on_28::on_28::on_28::on_28:

很報歉,我想太多了。

:on_28::on_28::on_28::on_28::on_28::on_28:

猜謎人 2007-09-10 08:46 PM

引用:

作者: getter (文章 1804292)
如果是這樣的話! 那還真是對不起呢 !!

別降說
是我自己話沒說清楚
抱歉!抱歉!:on_28::on_28::on_28:

猜謎人 2007-09-11 11:02 AM

請問getter大大
NTDETECT.COM為什麼顯示隱藏和搜尋都找不到這個檔呢?要如何找到他我想備分以測安全?
你是用哪個方法放回去的,我當時拷回去他還是個顯示的檔案沒有隱藏,位置是在根目錄沒錯可是開機時電腦會說ntldr missing,我不知步驟哪裡錯誤?ntldr我沒刪除啊!

getter 2007-09-11 11:52 AM

引用:

作者: 猜謎人 (文章 1804642)
請問getter大大
NTDETECT.COM為什麼顯示隱藏和搜尋都找不到這個檔呢?要如何找到他我想備分以測安全?
你是用哪個方法放回去的,我當時拷回去他還是個顯示的檔案沒有隱藏,位置是在根目錄沒錯可是開機時電腦會說ntldr missing,我不知步驟哪裡錯誤?ntldr我沒刪除啊!

只有複製貼上 ...

我是使用 WinPE 20040801 版本,做光碟開機,然後用 WinPE 的檔案總管
複製貼上,從 CD:\i386\ -> C:\NTDETECT.COM 底下

使用 WinPE 的檔案總管連隱藏檔都看的到 ...,
不過ㄚ要是中到這一次的毒的話是會進不了中毒的磁碟 ...

我測試的時候是以系統正常時,假設誤刪 NTDETECT.COM 而非中毒時。

之前不是有版胞貼那個 XPE 嗎? 我想可以測試看看

除了防毒、GHOST 之外也要有一片 WinPE、XPE 的光碟開機的 Windows
系統,可以增加救援力。

NTDETECT.COM 所在
1.在硬碟的 C:\ 下面(照Windows預設值),應該可以用 DIR C:\ /A 的 CMD
可以看到。
2.Windows的安裝光碟的 I386 資料夾中,如果是同一版(PRO+SP2)會與硬碟中的
檔案大小一致。
3.是 WinPE 光碟,在光碟的 I386 資料夾中,不過 WinPE 的與硬碟中的檔案,有檔案大小若干的不同。

XPE 的架構與 WinPE 不同沒有 I386 資料夾,沒有 NTDETECT.COM 檔案存在,應該是藏起來了,
不過開機速度比 WinPE 快多了。

猜謎人 2007-09-11 12:14 PM

引用:

作者: getter (文章 1804672)
只有複製貼上 ...

我是使用 WinPE 20040801 版本,做光碟開機,然後用 WinPE 的檔案總管
複製貼上,從 CD:\i386\ -> C:\NTDETECT.COM 底下

使用 WinPE 的檔案總管連隱藏檔都看的到 ...,
不過ㄚ要是中到這一次的毒的話是會進不了中毒的磁碟 ...

我測試的時候是以系統正常時,假設誤刪 NTDETECT.COM 而非中毒時。

之前不是有版胞貼那個 XPE 嗎? 我想可以測試看看

除了防毒、GHOST 之外也要有一片 WinPE、XPE 的光碟開機的 Windows
系統,可以增加救援力。

NTDETECT.COM 所在
1.在硬碟的 C:\ 下面(照Windows預設值),應該可以用 DIR C:\ /A 的 CMD
可以看到。
2.Windows的安裝光碟的 I386 資料夾中,如果是同一版(PRO+SP2)會與硬碟中的
檔案大小一致。
3.是 WinPE 光碟,在光碟的 I386 資料夾中,不過 WinPE 的與硬碟中的檔案,有檔案大小若干的不同。

感謝告知
又學了一招
以後就不怕了
剛剛發現各分割區都有ntdelect被他害慘了
一個一個砍了
再次感謝大大:on_28::on_28::on_28::on_28:

getter 2007-09-11 12:50 PM

我現在將 NTDETECT.COM 放上來
有 Windows 原來的、WinPE、XPE 的

NTDETECT.COM 檔案下載
http://www.badongo.com/file/4322823

內容如下
NTDETECT.COM -> Windows 原來的
NTDETECT.COM.win -> Windows 原來的備份
NTDETECT.COM.winpe -> WindPE 的備份
NTDETECT.COM.xpe -> xpe 的備份

僅供開機測試,不保證不會出事。

不管是哪一種病毒,要清除本來就不好處理。

最安全的方式 :
1.將所有的硬碟的分割表刪除。
2.重建所有硬碟 MBR區塊。
3.重新分割。
4.使用破壞式 format。
5.重灌系統或 GHOST。

偷懶的方法一 : 不是 USB 型病毒
1.重建所有硬碟 MBR區塊。
2.使用破壞式 format C: 並重灌系統或 GHOST。
3.選用自己信任的防毒軟體,做完整掃毒。

偷懶的方法二 : 是 USB 型病毒
1.進入安全模式。
2.將所有分割區、磁碟、隨身碟中的 autorun.inf 刪除,可以的話將檢視 autorun.inf 內容,將內容所指的隱藏執行檔一並刪除。
3.使用破壞式 format C: 並重灌系統或 GHOST。
4.選用自己信任的防毒軟體,做完整掃毒。
註:若是第 2 項沒做好,重灌系統或 GHOST 個 N 次也沒用。


固執的方法 : 是 USB 型病毒
1.設法檢視 autorun.inf 內容,將病毒的檔名記下。
2.使用 Google 或 Yahoo 等收尋引擎,找尋相關資訊。
3.以所找來的資訊做解毒動作。

猜謎人 2007-09-11 10:28 PM

大大真是熱心
先替版胞向你致謝啦

:on_28::on_28::on_28::on_28::on_28:

piggy 2007-09-12 01:13 PM

我用 MicroWorld eScan 隨身版 掃一掃 , 就沒再出現病毒訊息 . 大家參考看看
http://forum.slime.com.tw/thread215633.html


所有時間均為台北時間。現在的時間是 10:28 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1