|
論壇說明 |
歡迎您來到『史萊姆論壇』 ^___^ 您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的! 請點擊這裡:『註冊成為我們的一份子!』 |
|
主題工具 | 顯示模式 |
2005-10-13, 11:36 PM | #1 |
長老會員
|
電腦病毒無法刪除
C:\WINDOWS\System32\microsoftie4.dll
這隻病毒我無法刪除 在安全模式下刪除了 不過重新開機後 他又出現了 請高手救一下 病毒名稱:TSPY_LINEAGE.LV |
__________________ 隱藏也許是一種保護 保護自己也好 保護他人也好 但心念一改 也許坦白是一種解脫 因為深知你的人 就永遠能了解你 |
|
送花文章: 241,
|
2005-10-14, 01:00 AM | #2 (permalink) |
論壇主管
|
http://www.symantec.com/region/tw/te...oval.tool.html
取得並執行工具 -------------------------------------------------------------------------------- 注意:在 Windows NT 4.0、Windows 2000 或 Windows XP 上,您必須要有管理員權限才可以執行此工具。 -------------------------------------------------------------------------------- 從下列位址下載 FxGaobot.exe 檔案: http://securityresponse.symantec.com...r/FxGaobot.exe 將檔案儲存在方便的位置,例如您的下載資料夾或 Windows 桌面 (或者,如果方便,請儲存在未受感染的可移除式媒體上)。 若要檢查數位簽章的真偽,請參考「數位簽章」一節。 執行工具前,請先關閉所有執行的程式。 如果您的電腦位於網路上,或者是與 Internet 保持連線,請先中斷連線。 如果您的電腦執行的是 Windows XP,請關閉「系統還原」。如需相關資訊,請參閱「Windows Me/XP 上的系統還原選項」一節。 -------------------------------------------------------------------------------- 注意:如果您是執行 Windows XP,本公司強烈建議您不要跳過這個步驟。如果您沒有關閉「Windows XP 系統還原」功能的話,移除程序可能會失敗,因為這時候 Windows 會防止外來程式修改「系統還原」。 -------------------------------------------------------------------------------- 在 FxGaobot.exe 檔上按兩下滑鼠,即可啟動移除工具。 按下「開始」啟動程序,並允許工具執行。 -------------------------------------------------------------------------------- 注意:如果當您執行工具時看到訊息顯示此工具無法移除一個或多個檔案,請在安全模式中執行此工具。關閉電腦及電源,並等候 30 秒鐘。將電腦重新啟動為「安全模式」並重新執行該工具。Windows NT 以外的所有 Windows 32 位元作業系統都可以重新啟動在安全模式。如需執行此程序的指示,請參閱「如何將電腦重新啟動在安全模式」文件。 -------------------------------------------------------------------------------- 重新啟動電腦。 再次執行移除工具,確保系統已清除乾淨。 如果您是執行 Windows XP,請重新啟動「系統還原」。 執行 LiveUpdate 確保您使用最新版的病毒定義檔。 |
__________________ 不飛的不飛 ... 因為曾經端座在雲霄之上 ... 所以不飛 , 因為期待您能與不飛抬頭共列翱翔天昊 ... 所以更是不飛 ! 不飛不想飛 ... 畢竟殘破雙翼在苔階沾濕 ... 所以低頭 , 只好安靜地蹲在這練習 ... 學習要如何才能飛的更高更遠 ! 不飛不曾飛 ... 終於知道青澀期代表蒼狗 ... 所以情殤 , 一甲子的意境等於六十年的期盼的凝固 ... 所以就此棲巢 ! |
|
送花文章: 959,
|
2005-10-14, 07:23 AM | #3 (permalink) | |
版區管理員
|
引用:
您到這邊來找一各load的load的值(將load的值改為"") 註:load名稱的機碼 數值資料"應該是空白的" 若有的話,到那各地方將檔案刪除 不然就是載HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
|
__________________ 『唸金母心咒:嗡。金母。悉地。吽。』 持此咒者,可免一切瘟疫,一切瘟神抱頭四散。 魔術就是欣賞神奇的效果 如果魔術的秘密被破解了 那魔術就失去欣賞的價值 |
||
送花文章: 1533,
|
2005-10-14, 11:15 AM | #4 (permalink) |
長老會員
|
(TSPY,TROJ)木馬程式簡易清除法
一、修改檔案名稱 先行到C:\Windows\System32\下找出中毒的檔案,將此檔案改個名稱,請先行記住此檔案的名稱,在第二步驟上需用到。 二、製作假檔案 開記事本(記得副檔名要取消),存檔為中毒的檔案名稱,副檔名也要一併的更改(.dll),並對檔案改為唯讀,再把自作的中毒檔案放在中毒的同一位置,重新開機。 三、刪除真中毒檔案 重新開機後會顯示一應用程式錯誤 (C:\Windows\System32\*.dll為不正確)可不必理會,再到C:\Windows\System32\把被您(妳)自己改過名稱的原中毒檔案刪除。並將其關機(切記勿重新開機)。而自行自作的假病毒檔是為了要騙取駭客再次將病毒植入電腦裡。 四、關機→開機 正確的關機,是為了將最後一次完美的情況儲存。再次開機如有再發生應用程式錯誤之訊息,請下載 HijackThis程式,可以掃瞄清除機碼。http://www.spywareinfo.com/~merijn/files/hijackthis.zip 下載安裝後,執行選用 "Do a system scan" 掃瞄後,把有關svchost.exe 打勾就好,其他的不要勾,然後按 "fix checked" -> yes 五、範例解毒 Ex本人某日中了一駭客TSPY,病毒檔為C:\Windows\System32\Wydll.dll Sol(1)將Wydll.dll→1123456.dll。 (2)開記事本,存為Wydll.dll→重新開機。 (3)重開後出現一錯誤訊息→按確定;刪除123456.dll,並使用防毒軟體完全掃毒,會見著一堆在C:\System Volume Information\有一堆病毒檔遭隔離,那些是駭客植入的,將其刪除就可,關機。 (4-1)開機後一切正常 (4-2)開機後還是出現錯誤訊息→按確定,下載 HijackThis程式刪除機碼。 六、附註 (1)*.dll:*代表為一不確定之英文。 (2)更改副檔名:工具→資料夾選項→檢視→將隱藏已知檔案類型的副檔名打勾取消。 (3)檔案屬性:檔案→滑鼠右鍵→內容→唯讀打勾,保存取消。 (4)很多人會去更改登錄編輯器內的Run,但並非所有啟動程式全在此處,而且更改有誤,會倒至電腦無法運作,本人是不贊成不會高階系統者使用。 (5)很多人會將svchost.exe與svchost32.exe搞錯,有數值的是表示已經被植入駭客了。誤將svchost.exe此程式關掉,會倒至倒數讀秒並自行重新開機。 (6)關掉系統還原→使用安全模式下,雖然可以將其病毒檔案砍除,但回到正常Windows下,還是會一眛的出現中毒。 (7)此法只是小的鑽研多日的理論寫出的中文解法,以讓看不懂的網友有個中文查看,如有誤觸到趨勢的官方英文解法,還請見諒。 (8)感謝網友︴帥氣|翔♂之提供 |
送花文章: 241,
|
2005-11-01, 07:19 PM | #5 (permalink) |
管理版主
|
感謝梵天的分享
在下前幾天電腦也中了木馬 跟梵天的情形差不多 我中毒的檔案 D:\WINDOWS\system32\winshehc.dll 病毒名稱TSPY_LINEAGE.OB 在網路上找了一堆方式試都不行 原本想說最簡單的乾脆把防毒改成卡巴的 但沒想到灌了更慘...開個我的電腦要跑5分鐘才開啟 後來在下將卡巴移除(不知道是不是因為和PC-cillin2005沖到??) 速度又變回正常的 之後將中毒的檔案winshehc.dll強制刪除 但又再生了= =" winshehc.dll.xxx.xx的檔案 最後試了梵天的方法 終於...終於成功了 感恩啊 |
送花文章: 2656,
|