|
|
|||||||
| 論壇說明 |
|
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
 |
|
|
主題工具 | 顯示模式 |
2004-07-05, 10:19 PM
|
#1 |
|
註冊會員
|
中毒了!!請求各位大大幫忙^^
小妹的電腦中毒嚕~
 中毒ㄉ檔案無法隔離~也無法殺掉~ 而且諾頓又一直會顯示~也關不掉~ 也試過一些網路的解毒方法~ 結果都沒用~請求各位大大幫忙一下~ 病毒名稱 : backdoor.coreflood 中毒檔案 : webvbhsz.dll 防毒軟體 : 諾頓 2003 作業系統 : win 2000 再三懇求各位大大伸出援手~救救可憐ㄉ小妹 |
|
送花文章: 2,
|
|
2004-07-05, 10:45 PM
|
#2 (permalink) |
|
長老會員
 |
1.Disable System Restore (Windows Me/XP). 把系統還原關掉
2.Update the virus definitions. 更新norton(live update) 3.Restart the computer in Safe mode or VGA mode. (重開機按f8,選安全模式) 4.Run a full system scan and delete all the files detected as Backdoor.Coreflood. (防毒做全掃瞄) 5.Delete the value that was added to the registry. Click Start, and then click Run. (The Run dialog box appears.) Type regedit, and then click OK. (The Registry Editor opens.) (按左下方開始,點執行打上regedit) Navigate to the key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run In the right pane, delete the value that refers to the filename detected as Backdoor.Coreflood.(把壞東西砍了像是Backdoor.Coreflood) Exit the Registry Editor.(離開)完成 |
|
|
送花文章: 5,
|
|
2004-07-06, 01:28 AM
|
#4 (permalink) |
|
長老會員
|
如果你的英文好
或是能找到英文好的人幫忙 這裡是英文版的詳細解決方案http://securityresponse.symantec.com...coreflood.html 如果無法解決 不如 format 重灌 |
|
__________________ 惡魔最愛櫻桃~~~ |
|
|
|
送花文章: 2495,
|
|
2004-07-06, 11:56 AM
|
#6 (permalink) |
|
註冊會員
|
各位大大所提供ㄉ方法還是都不行嚕~
唉唉~最後小妹採用的方法~ 只有把此檔案加入"自動防護排除"了~ 這樣暫時諾頓就掃不到鴉 電腦也可以順利運作嚕~ (中毒後..啟動諾頓自動防護時..電腦就無正常運作..而且會一直出現中毒的視窗..也無法關不掉..) 反正小妹的電腦中也沒什麼重要檔案~ 要偷要看~就隨駭客吧~  現在只好等更新的病毒檔~看看是否能解嚕~  真不知道webvbhsz.dll這郭檔是什麼東西~ 無法殺也無法刪除~唉唉~ 在此也感謝didi.Phantom.異端神.kiltw以上各位大大的熱心幫忙~ 史萊姆果然是一郭充滿溫暖的地方~  |
|
|
送花文章: 2,
|
|
2004-07-06, 05:32 PM
|
#7 (permalink) | |
|
長老會員
 
|
引用:
到下面去抓 HijackThis , 執行後, 按 [Scan] , 然後再按 [Save log] , 再將這個 log 檔案的內容貼上來, 讓大家幫你分析一下... HijackThis 是一個分析工具,它可以幫你分析啟動的程式及目前處理的程序, 也可以將 IE 所用到的外掛、工具列、右鍵選單所有可疑的程式一一列表出來, 讓您判斷哪個程式是惡意程式,再把它給移除! HijackThis Download: http://ftp.nctu.edu.tw/ftp/Vendors/S...hijackthis.zip http://ftp.isu.edu.tw/Windows/softki...hijackthis.zip |
|
|
|
送花文章: 96,
|
|
2004-07-06, 07:09 PM
|
#9 (permalink) | |
|
註冊會員
|
引用:
Logfile of HijackThis v1.98.0 Scan saved at 下午 07:05:53, on 2004/7/6 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\WINNT\Mixer.exe C:\WINNT\system32\tran.exe C:\Program Files\Messenger Plus! 3\MsgPlus.exe C:\WINNT\system32\ctfmon.exe D:\Program Files\Object Desktop\WindowBlinds\wbload.exe C:\WINNT\System32\PPPoEWIn.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINNT\system32\NOTEPAD.EXE C:\Program Files\Common Files\Microsoft Shared\SPEECH\sapisvr.exe I:\Downloads\hijackthis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: webvbhsz - {AD4FFFD7-2FB0-A652-E6AE-688BDFCB5EFE} - C:\WINNT\system32\webvbhsz.dll O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [桌面文字透明] C:\WINNT\system32\tran.exe /R500 O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Program Files\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL O4 - HKLM\..\Run: [HPDJ Taskbar Utility] ; C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [CJIMETIPSYNC] C:\Program Files\Common Files\Microsoft Shared\IME\IMTC65\CHANGJIE\CINTLCFG.EXE /CJIMETIPSync O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\Elaborate Bytes\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [Super Rabbit Desktop Set] D:\Program Files\Super Rabbit\magicset\DS.EXE /Load O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - HKCU\..\Run: [WindowBlinds] D:\Program Files\Object Desktop\WindowBlinds\wbload.exe auto O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: 使用 FlashGet 下載 - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 全部使用 FlashGet 下載 - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 匯出至 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: 參考資料 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - D:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{CAA5E2A7-EFD7-4432-B852-9ABA5C0CC26C}: NameServer = 139.175.55.244 139.175.252.16 再次麻煩大大了^^ |
|
|
|
送花文章: 2,
|
|
2004-07-07, 10:21 AM
|
#10 (permalink) | |
|
長老會員
|
引用:
把上面掃到的那一個項目勾選起來, 再按 [Fix Checked], 它會將這個項目刪除, 完成後需重新開機~ 開機完後, 不要執行 IE (Internet Explorer), 直接執行檔案總管將 C:\WINNT\system32\webvbhsz.dll 這個檔案刪除即可... (如果沒找到這個檔案, 表示已經被 HijackThis 隔離起來了) 最好再用 Ad-Aware 清除一下廣告/木馬軟體(需更新一下參考檔)... P.S. 記得將 Norton 的 "自動防護排除" 改回來~ |
|
|
|
送花文章: 96,
|
平板模式
