求助 - 唉唉!!!wincab.sys中毒

我二.三天中了wincab.sys
有用avast掃描...把它刪掉或移隔組 之後重開機又會跑出來....
就關機 休息 過一天上電腦每次開機都是 會它跑出來...
試過了方法....但無法刪...怎麼解決...
謝謝
看看 wincab.sys 中毒的圖片
-------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 下午 03:38:16, on 2007/9/9
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Inventec\Dreye\DreyeMT\msnplugin.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Virtual CD v9\System\VC9Play.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe
C:\Program Files\FlashGet\flashget.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ATnotes\ATnotes.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Virtual CD v9\System\VC9SecS.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
D:\others\Downloads\HiJackThis_v2.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: Dr.eye WebPage Translation - {92B255FE-94E2-4BCA-958D-3926CE38913F} - C:\Program Files\Inventec\Dreye\DreyeMT\DreyeIEBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSNDreyePlugin] C:\Program Files\Inventec\Dreye\DreyeMT\msnplugin.exe /h
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [VC9Player] C:\Program Files\Virtual CD v9\System\VC9Play.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Flashget] C:\Program Files\FlashGet\flashget.exe /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ATnotes.exe] C:\Program Files\ATnotes\ATnotes.exe
O4 - HKCU\..\Run: [iTudouAutoStart] C:\Program Files\iTudou\iTudou.exe -AutoStart
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: &使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: &全部使用 FlashGet 下載 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Program Files\FlashGet\FlashGet.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ZH-TW/.../GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - C:\Program Files\Virtual CD v9\System\VC9SecS.exe

--
End of file - 5702 bytes
************************************
照你們文章試做3.4次...有刪除了...但重新開機還是跑出來..
不行哦...

可不可以再重灌電腦嗎....

[猜謎人]

引用:

作者: getter

還好啦，當我中到這一隻，也是先殺在 ghost。
比用那個殺毒器簡單多了。

我還拿一個硬碟灌系統做中毒分析 + 研究

希望這篇能讓版胞們注意這隻可惡的傢伙

[getter]

引用:

作者: 猜謎人

希望這篇能讓版胞們注意這隻可惡的傢伙

?? 可惡的傢伙 ?? 我也是受災戶ㄝ，我又不是病毒作者！！

我不用一個硬碟去做中毒分析，怎麼寫的出殺毒的批次檔

還是以後請中毒者請完整重灌吧。

[JACK]

引用:

作者: getter

?? 可惡的傢伙 ?? 我也是受災戶ㄝ，我又不是病毒作者！！

我不用一個硬碟去做中毒分析，怎麼寫的出殺毒的批次檔

還是以後請中毒者請完整重灌吧。

我想大大是誤會啦！
猜大應該是說這隻病毒啦！

[getter]

引用:

作者: JACK

我想大大是誤會啦！
猜大應該是說這隻病毒啦！

如果是這樣的話! 那還真是對不起呢 !!

[猜謎人]

引用:

作者: getter

?? 可惡的傢伙 ?? 我也是受災戶ㄝ，我又不是病毒作者！！

我不用一個硬碟去做中毒分析，怎麼寫的出殺毒的批次檔

還是以後請中毒者請完整重灌吧。

誤會！誤會啦！
我不是說大大你啦，我是說這隻病毒啦！

讓你誤會真是抱歉！

其實真是感謝你的研究
讓我更了解我當時的錯誤
在此向你致謝

[猜謎人]

getter大大真是抱歉讓你誤解啦！我語意不清讓你誤會真是抱歉！
對於你的辛勞我感謝都來不及呢！
你真是造福我們這些受害者
鄭重向你致謝

[getter]

引用:

作者: 猜謎人

getter大大真是抱歉讓你誤解啦！我語意不清讓你誤會真是抱歉！
對於你的辛勞我感謝都來不及呢！
你真是造福我們這些受害者
鄭重向你致謝

很報歉，我想太多了。

[猜謎人]

引用:

作者: getter

如果是這樣的話! 那還真是對不起呢 !!

別降說
是我自己話沒說清楚
抱歉！抱歉！

[猜謎人]

請問getter大大
NTDETECT.COM為什麼顯示隱藏和搜尋都找不到這個檔呢？要如何找到他我想備分以測安全？
你是用哪個方法放回去的，我當時拷回去他還是個顯示的檔案沒有隱藏，位置是在根目錄沒錯可是開機時電腦會說ntldr missing，我不知步驟哪裡錯誤？ntldr我沒刪除啊！

[getter]

引用:

作者: 猜謎人

請問getter大大
NTDETECT.COM為什麼顯示隱藏和搜尋都找不到這個檔呢？要如何找到他我想備分以測安全？
你是用哪個方法放回去的，我當時拷回去他還是個顯示的檔案沒有隱藏，位置是在根目錄沒錯可是開機時電腦會說ntldr missing，我不知步驟哪裡錯誤？ntldr我沒刪除啊！

只有複製貼上 ...

我是使用 WinPE 20040801 版本，做光碟開機，然後用 WinPE 的檔案總管
複製貼上，從 CD:\i386\ -> C:\NTDETECT.COM 底下

使用 WinPE 的檔案總管連隱藏檔都看的到 ...，
不過ㄚ要是中到這一次的毒的話是會進不了中毒的磁碟 ...

我測試的時候是以系統正常時，假設誤刪 NTDETECT.COM 而非中毒時。

之前不是有版胞貼那個 XPE 嗎? 我想可以測試看看

除了防毒、GHOST 之外也要有一片 WinPE、XPE 的光碟開機的 Windows
系統，可以增加救援力。

NTDETECT.COM 所在
1.在硬碟的 C:\ 下面(照Windows預設值)，應該可以用 DIR C:\ /A 的 CMD
可以看到。
2.Windows的安裝光碟的 I386 資料夾中，如果是同一版(PRO+SP2)會與硬碟中的
檔案大小一致。
3.是 WinPE 光碟，在光碟的 I386 資料夾中，不過 WinPE 的與硬碟中的檔案，有檔案大小若干的不同。

XPE 的架構與 WinPE 不同沒有 I386 資料夾，沒有 NTDETECT.COM 檔案存在，應該是藏起來了，
不過開機速度比 WinPE 快多了。

[猜謎人]

引用:

作者: getter

只有複製貼上 ...

我是使用 WinPE 20040801 版本，做光碟開機，然後用 WinPE 的檔案總管
複製貼上，從 CD:\i386\ -> C:\NTDETECT.COM 底下

使用 WinPE 的檔案總管連隱藏檔都看的到 ...，
不過ㄚ要是中到這一次的毒的話是會進不了中毒的磁碟 ...

我測試的時候是以系統正常時，假設誤刪 NTDETECT.COM 而非中毒時。

之前不是有版胞貼那個 XPE 嗎? 我想可以測試看看

除了防毒、GHOST 之外也要有一片 WinPE、XPE 的光碟開機的 Windows
系統，可以增加救援力。

NTDETECT.COM 所在
1.在硬碟的 C:\ 下面(照Windows預設值)，應該可以用 DIR C:\ /A 的 CMD
可以看到。
2.Windows的安裝光碟的 I386 資料夾中，如果是同一版(PRO+SP2)會與硬碟中的
檔案大小一致。
3.是 WinPE 光碟，在光碟的 I386 資料夾中，不過 WinPE 的與硬碟中的檔案，有檔案大小若干的不同。

感謝告知
又學了一招
以後就不怕了
剛剛發現各分割區都有ntdelect被他害慘了
一個一個砍了
再次感謝大大

[getter]

我現在將 NTDETECT.COM 放上來
有 Windows 原來的、WinPE、XPE 的

NTDETECT.COM 檔案下載
http://www.badongo.com/file/4322823

內容如下
NTDETECT.COM -> Windows 原來的
NTDETECT.COM.win -> Windows 原來的備份
NTDETECT.COM.winpe -> WindPE 的備份
NTDETECT.COM.xpe -> xpe 的備份

僅供開機測試，不保證不會出事。

不管是哪一種病毒，要清除本來就不好處理。

最安全的方式 :
1.將所有的硬碟的分割表刪除。
2.重建所有硬碟 MBR區塊。
3.重新分割。
4.使用破壞式 format。
5.重灌系統或 GHOST。

偷懶的方法一 : 不是 USB 型病毒
1.重建所有硬碟 MBR區塊。
2.使用破壞式 format C: 並重灌系統或 GHOST。
3.選用自己信任的防毒軟體，做完整掃毒。

偷懶的方法二 : 是 USB 型病毒
1.進入安全模式。
2.將所有分割區、磁碟、隨身碟中的 autorun.inf 刪除，可以的話將檢視 autorun.inf 內容，將內容所指的隱藏執行檔一並刪除。
3.使用破壞式 format C: 並重灌系統或 GHOST。
4.選用自己信任的防毒軟體，做完整掃毒。
註:若是第 2 項沒做好，重灌系統或 GHOST 個 N 次也沒用。


固執的方法 : 是 USB 型病毒
1.設法檢視 autorun.inf 內容，將病毒的檔名記下。
2.使用 Google 或 Yahoo 等收尋引擎，找尋相關資訊。
3.以所找來的資訊做解毒動作。

[猜謎人]

大大真是熱心
先替版胞向你致謝啦

[piggy]

我用 MicroWorld eScan 隨身版 掃一掃 , 就沒再出現病毒訊息 . 大家參考看看
http://forum.slime.com.tw/thread215633.html