史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   一般電腦疑難討論區 (http://forum.slime.com.tw/f17.html)
-   -   請問中了URET463.EXE隨身碟病毒後清除到... (http://forum.slime.com.tw/thread249770.html)

zazoo 2009-06-29 12:18 AM
請問中了URET463.EXE隨身碟病毒後清除到...
 
各位大大好:
小弟下午間因將USB插入電腦傳輸物件時,過一會兒發現熊熊出現一個叫“URET463.EXE”這個程式一直想要外連,幸好用防火牆擋下...
令我感到不可思議的是NOD32 3.0.684.0版-病毒碼更新到4194(20090628),居然都無預警??:on_72:
重開機看看,發現防火牆顯示URET463.EXE又想透過OLE存取其他硬碟?
就檢查了一下MSCONFIG,發現啟動那邊的確多了URET463.EXElhgjyit0.dll兩個怪雞絲...:on_59:
再看各硬碟也看不到顯示隱藏的物件....

有用HijackThis來檢查,可是好像沒有看到URET463的東西?
Logfile of Trend Micro HijackThis v2.0.0 (測試版)
Scan saved at 下午 12:41:11, on 2009/6/28
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\CMD.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\More\My Documents\HiJackThis v2.exe

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Program Files\Agnitum\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1245762073564
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1245771428515
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 4015 bytes

搜了史板上的一些相關解疑,就用了大大們分享的EFIX來解。
小弟透過EFIX清除到看起來好像都沒有了?但是用REGEDIT查尋發現在“我的電腦\HKEY_USERS\S-1-5-21-161489574-2077806209-147001333-1003\Software\Microsoft\Seach Assistant\ACMru\5603”中還有二個值─URET463.EXE和URET。
請問這二個值可以刪除嗎?謝謝。:on_28:
附圖如下↓
http://f.imagehost.org/0774/2009-06-28_232504.jpg

不飛 2009-06-29 12:41 AM
1 :
您需要的是一個公用程式:autoruns

2 : 再執行 EFIX
http://tzoyiing.pixnet.net/blog/post/22881831

以上方式試試看。

zazoo 2009-06-29 12:49 AM
引用:
作者: 不飛 (文章 2170834)
1 :
您需要的是一個公用程式:autoruns

2 : 再執行 EFIX
http://tzoyiing.pixnet.net/blog/post/22881831

以上方式試試看。

謝謝不飛老爺
不過小弟有點不解...小弟有在群組把自動播放給全關了,這樣還是需要安裝AUTORUNS嗎?還是本身就欠缺這個元件?老爺的指導小弟會去試,只是還是想多少了解一點..
是指只要裝了微軟的AUTORUNS後再行使EFIX嗎?
不好意思...理解力有點不行...謝謝...

引用:
作者: 不飛 (文章 2170838)
煩請參考 GooGle 大神查出來的相關網頁 :

http://tw.myblog.yahoo.com/20-p/article?mid=1992
了解,容小弟先去試試再回報。
先謝謝老爺

不飛 2009-06-29 12:56 AM
煩請參考 GooGle 大神查出來的相關網頁 :

http://tw.myblog.yahoo.com/20-p/article?mid=1992

zazoo 2009-06-29 01:33 AM
謝謝不飛老爺幫忙,問題已解決!
autoruns原來可以把登錄檔看得清楚些和比對處理刪除...又學了一點。
已完全清除!
其實小弟自己搜google也不知道朝那方面去搜,有些問題卻需要有人來個當頭棒喝指點一下,才知道方向...
真是不好意思..
再次感謝不飛老爺!


所有時間均為台北時間。現在的時間是 02:17 PM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2025, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1