求助 - 還原到原始出廠狀態後掃描出現中毒

haluko · 2008-05-31, 03:56 PM

--------------------
閱讀本主題的最佳解答
--------------------

NB: IBM ThinkPad X32
2006年8月購入,
內附Norton AntiVirus 2005 90試用版
出場原始之病毒碼日期為2004年11月
主要用途; 資料製作,照片整理,上網(從未上不良網站)
原廠還原磁區等均未更動
除還原磁區之外只有一顆硬碟分割

小弟使用該nb已有一段時間
平日習慣還算良好
還原整個硬碟後第一件是事先掃毒
因為平均不到90天就會還原成原始出廠狀態
所以也就一直相安無事

但這前天還原成原始出廠狀態之後
還未上網更新病毒碼就先行掃描整顆硬碟
卻出現
"磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒"
的訊息
不論是直接從還原磁區還原至出廠狀態
還是將整顆硬碟format後(包含刪除還原磁區)
再用還原光碟重建還原磁區都一樣會出現中毒訊息

但是若上網更新Antivirus 2005病毒碼再掃描,
或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描
卻又沒出現發現病毒的訊息

能否請各位賢達位小弟解惑
1. 為何會有這種情形發生
2. 小弟又要如何處置才能確保真的沒中毒

謝謝指點

lutunhsiang · 2008-05-31, 04:04 PM

引用:

作者: haluko

NB: IBM ThinkPad X32
2006年8月購入,
內附Norton AntiVirus 2005 90試用版
出場原始之病毒碼日期為2004年11月
主要用途; 資料製作,照片整理,上網(從未上不良網站)
原廠還原磁區等均未更動
除還原磁區之外只有一顆硬碟分割

小弟使用該nb已有一段時間
平日習慣還算良好
還原整個硬碟後第一件是事先掃毒
因為平均不到90天就會還原成原始出廠狀態
所以也就一直相安無事

但這前天還原成原始出廠狀態之後
還未上網更新病毒碼就先行掃描整顆硬碟
卻出現
"磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒"
的訊息
不論是直接從還原磁區還原至出廠狀態
還是將整顆硬碟format後(包含刪除還原磁區)
再用還原光碟重建還原磁區都一樣會出現中毒訊息

但是若上網更新Antivirus 2005病毒碼再掃描,
或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描
卻又沒出現發現病毒的訊息

能否請各位賢達位小弟解惑
1. 為何會有這種情形發生
2. 小弟又要如何處置才能確保真的沒中毒

謝謝指點

=================================
能否先參考以下的網頁,把log裡面的內容張貼出來
http://forum.slime.com.tw/thread208952.html

haluko · 2008-06-01, 08:35 AM

謝謝提醒
但不知是這程式能否查到開機磁區的情形?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 上午 08:25:20, on 2008/6/1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\IBMTOOLS\UTILS\ibmprc.exe
C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\abc\桌面\HiJackThis.exe

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe
O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe
O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE
O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: IBM Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: 自動 LiveUpdate 排程器 - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

--
End of file - 7456 bytes

a471 · 2008-06-01, 12:43 PM

引用:

作者: haluko

NB: IBM ThinkPad X32
2006年8月購入,
內附Norton AntiVirus 2005 90試用版
出場原始之病毒碼日期為2004年11月
主要用途; 資料製作,照片整理,上網(從未上不良網站)
原廠還原磁區等均未更動
除還原磁區之外只有一顆硬碟分割

小弟使用該nb已有一段時間
平日習慣還算良好
還原整個硬碟後第一件是事先掃毒
因為平均不到90天就會還原成原始出廠狀態
所以也就一直相安無事

但這前天還原成原始出廠狀態之後
還未上網更新病毒碼就先行掃描整顆硬碟
卻出現
"磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒"
的訊息
不論是直接從還原磁區還原至出廠狀態
還是將整顆硬碟format後(包含刪除還原磁區)
再用還原光碟重建還原磁區都一樣會出現中毒訊息

但是若上網更新Antivirus 2005病毒碼再掃描,
或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描
卻又沒出現發現病毒的訊息

能否請各位賢達位小弟解惑
1. 為何會有這種情形發生
2. 小弟又要如何處置才能確保真的沒中毒

謝謝指點

你使用電腦的方式真是令人匪夷所思.......電腦沒問題為何要還原?

防毒軟體過期了就別用了OK~~~拿明朝的尚方寶劍斬不了清朝的皇帝，2005的防毒
軟體對付2008的病毒?

建議你還原光碟拿去收起來放，證明你的OS是合法的.......

然後把重要資料備份好之後將硬碟重新分割為兩個分割區，C用來安裝應用軟體+OS
，D存放你個人資料......

然後安裝最新的防毒軟體，等你將作業環境弄好之後用GHOST做映像檔燒成CD，取代
你原先的還原光碟...

plunderer · 2008-06-01, 01:34 PM

為何會有這種情形發生?
1
BloodHoudn 是啟發式技術的一種, 有可能設定太敏感而誤報

2
若你是低階格式化你的硬碟, 那就很乾淨了, 除非作業系統光碟本身帶病毒
若只是 format 分割區或刪除分割區, 還不見得乾淨, 因為有的病毒會自行建立隱藏的分割區, 並感染其 MBR 磁區
隱藏分割區顧名思義, 一般軟體讀不到, 除非用專門軟體, 如DiskGenius

如何處置才能確保真的沒中毒?
現在的硬碟沒必要低階格式化了(低階格式化會降低硬碟壽命)
用 DiskGenius
http://down1.tech.sina.com.cn/downlo...-16/6549.shtml
刪除所有分割區再重新分割, 再用你確定沒問題的作業系統光碟安裝

P.S
慎用 DiskGenius, 功能越強的軟體殺傷力越大

leowang · 2008-06-01, 02:08 PM

建議可以的話最好都重新安裝新的OS
畢竟大大的你的還原出來的都太老了微軟也都更新了很多東西
之後再來安裝較新版的防毒軟體的會比較好
當然也可以把它Ghost備份起來

haluko · 2008-06-03, 02:26 PM

引用:

作者: a471

你使用電腦的方式真是令人匪夷所思.......電腦沒問題為何要還原?...

很抱歉這麼晚回覆
說來慚愧
買來之後就都一直很忙

所以到現在一直未能好好的重灌
所以現階段只能每隔一段時間還原一次
a471大大與leowang大大的指示小的會記在心中

那敢問各先進
小弟附上的分析資料中
有中毒的跡象嗎?
不知哪裡有DiskGenius的相關使用說明

謝謝各位

plunderer · 2008-06-03, 03:05 PM

log 看起來沒問題

DiskGenius 裡面就有輔助說明檔, 簡體中文的

P.S
DiskGenius 是unicode 簡體中文, 在繁體系統上執行時其介面文字會變成一堆問號
安裝Unicode 補完計畫 2.50後, unicode 簡體中文的軟體就能正常顯示
http://search.cpatch.org/download/pa...deaton_250.exe

a471 · 2008-06-04, 01:20 AM

把OS需要的驅動、公用程式全部找齊就重新安裝系統吧，把驅動程式+OS剛裝好時、

建立完成結束重建時的系統做映像檔，這樣你靠一張DVD-ROM就可以讓你系統恢復

成"作業系統剛裝好與系統建置完成時"的兩種情況.....比你過時的還原光碟好用

haluko · 2008-06-04, 02:31 PM

謝謝各位指點
對其他大大很抱歉
小弟把最佳解答給了plunderer

但是小弟還是很好奇
HijackThis的log可以看出開機磁區有無中毒嗎?

plunderer · 2008-06-04, 04:50 PM

不能....
MBR 感染屬於低階磁碟存取, 而HJ 只能掃出作業系統載入程式的情況

2008-05-31, 03:56 PM	#1
haluko 長老會員榮譽勳章勳章總數6 UID - 3733 在線等級: 註冊日期: 2002-12-07 住址: Sunshine Florida 文章: 516 精華: 0 現金: 164 金幣資產: 5526996 金幣	求助 - 還原到原始出廠狀態後掃描出現中毒 -------------------- 閱讀本主題的最佳解答 -------------------- NB: IBM ThinkPad X32 2006年8月購入, 內附Norton AntiVirus 2005 90試用版出場原始之病毒碼日期為2004年11月主要用途; 資料製作,照片整理,上網(從未上不良網站) 原廠還原磁區等均未更動除還原磁區之外只有一顆硬碟分割小弟使用該nb已有一段時間平日習慣還算良好還原整個硬碟後第一件是事先掃毒因為平均不到90天就會還原成原始出廠狀態所以也就一直相安無事但這前天還原成原始出廠狀態之後還未上網更新病毒碼就先行掃描整顆硬碟卻出現 "磁碟機#0的主要開機紀錄感染了BloodHoudn.MBR病毒" 的訊息不論是直接從還原磁區還原至出廠狀態還是將整顆硬碟format後(包含刪除還原磁區) 再用還原光碟重建還原磁區都一樣會出現中毒訊息但是若上網更新Antivirus 2005病毒碼再掃描, 或是改裝Symantec Client Security v3.1.6並更新至最新的病毒碼再掃描卻又沒出現發現病毒的訊息能否請各位賢達位小弟解惑 1. 為何會有這種情形發生 2. 小弟又要如何處置才能確保真的沒中毒謝謝指點

	送花文章: 1269, 收花文章: 237 篇, 收花: 1426 次

2008-06-01, 08:35 AM	#3 (permalink)
haluko 長老會員榮譽勳章勳章總數6 UID - 3733 在線等級: 註冊日期: 2002-12-07 住址: Sunshine Florida 文章: 516 精華: 0 現金: 164 金幣資產: 5526996 金幣	謝謝提醒但不知是這程式能否查到開機磁區的情形? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 上午 08:25:20, on 2008/6/1 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\ibmpmsvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe C:\Program Files\Norton AntiVirus\navapsvc.exe C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\QCONSVC.EXE C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Program Files\Norton AntiVirus\SAVScan.exe C:\WINDOWS\system32\TpKmpSVC.exe C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\system32\tp4serv.exe C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe C:\Program Files\Common Files\Symantec Shared\ccApp.exe C:\Program Files\IBM\Messages By IBM\ibmmessages.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe C:\IBMTOOLS\UTILS\ibmprc.exe C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Digital Line Detect\DLG.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\abc\桌面\HiJackThis.exe O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe O4 - HKLM\..\Run: [TrackPointSrv] tp4serv.exe O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Program Files\ThinkPad\Utilities\TpKmapAp.exe -helper O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe O4 - HKLM\..\Run: [TP4EX] tp4ex.exe O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\\ibmmessages.exe O4 - HKLM\..\Run: [IBMPRC] C:\IBMTOOLS\UTILS\ibmprc.exe O4 - HKLM\..\Run: [QCTRAY] C:\Program Files\ThinkPad\ConnectUtilities\QCTRAY.EXE O4 - HKLM\..\Run: [QCWLICON] C:\Program Files\ThinkPad\ConnectUtilities\QCWLICON.EXE O4 - HKLM\..\Run: [PWRMGRTR] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ibmmessages] C:\Program Files\IBM\Messages By IBM\ibmmessages.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll O9 - Extra 'Tools' menuitem: IBM Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [JAVA_IBM] Java (IBM) O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Program Files\IBM\IBM Rapid Restore Ultra\rrpcsb.exe O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing) O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe O23 - Service: 自動 LiveUpdate 排程器 - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- End of file - 7456 bytes

	送花文章: 1269, 收花文章: 237 篇, 收花: 1426 次

2008-06-01, 01:34 PM	#5 (permalink)
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	為何會有這種情形發生? 1 BloodHoudn 是啟發式技術的一種, 有可能設定太敏感而誤報 2 若你是低階格式化你的硬碟, 那就很乾淨了, 除非作業系統光碟本身帶病毒若只是 format 分割區或刪除分割區, 還不見得乾淨, 因為有的病毒會自行建立隱藏的分割區, 並感染其 MBR 磁區隱藏分割區顧名思義, 一般軟體讀不到, 除非用專門軟體, 如DiskGenius 如何處置才能確保真的沒中毒? 現在的硬碟沒必要低階格式化了(低階格式化會降低硬碟壽命) 用 DiskGenius http://down1.tech.sina.com.cn/downlo...-16/6549.shtml 刪除所有分割區再重新分割, 再用你確定沒問題的作業系統光碟安裝 P.S 慎用 DiskGenius, 功能越強的軟體殺傷力越大
	__________________ 刑天舞干戚
	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

2008-06-01, 02:08 PM	#6 (permalink)
leowang 長老會員榮譽勳章勳章總數14 UID - 2461 在線等級: 註冊日期: 2002-12-06 文章: 4729 精華: 0 現金: 101679 金幣資產: 668410953 金幣	建議可以的話最好都重新安裝新的OS 畢竟大大的你的還原出來的都太老了微軟也都更新了很多東西之後再來安裝較新版的防毒軟體的會比較好當然也可以把它Ghost備份起來
	__________________ 金錢的數量，決定馬子的漂亮硬碟的容量，決定男人的力量製作Mail Logo按這裡
	送花文章: 257, 收花文章: 1161 篇, 收花: 4928 次

2008-06-03, 03:05 PM	#8 (permalink)
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	log 看起來沒問題 DiskGenius 裡面就有輔助說明檔, 簡體中文的 P.S DiskGenius 是unicode 簡體中文, 在繁體系統上執行時其介面文字會變成一堆問號安裝Unicode 補完計畫 2.50後, unicode 簡體中文的軟體就能正常顯示 http://search.cpatch.org/download/pa...deaton_250.exe

	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

2008-06-04, 01:20 AM	#9 (permalink)
a471 管理員榮譽勳章勳章總數18 UID - 236673 在線等級: 註冊日期: 2002-12-06 住址: 打狗文章: 53355 精華: 0 現金: 302 金幣資產: 41767744 金幣	把OS需要的驅動、公用程式全部找齊就重新安裝系統吧，把驅動程式+OS剛裝好時、建立完成結束重建時的系統做映像檔，這樣你靠一張DVD-ROM就可以讓你系統恢復成"作業系統剛裝好與系統建置完成時"的兩種情況.....比你過時的還原光碟好用

	送花文章: 79393, 收花文章: 22261 篇, 收花: 80311 次

2008-06-04, 02:31 PM	#10 (permalink)
haluko 長老會員榮譽勳章勳章總數6 UID - 3733 在線等級: 註冊日期: 2002-12-07 住址: Sunshine Florida 文章: 516 精華: 0 現金: 164 金幣資產: 5526996 金幣	謝謝各位指點對其他大大很抱歉小弟把最佳解答給了plunderer 但是小弟還是很好奇 HijackThis的log可以看出開機磁區有無中毒嗎?

	送花文章: 1269, 收花文章: 237 篇, 收花: 1426 次

2008-06-04, 04:50 PM	#11 (permalink)
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	不能.... MBR 感染屬於低階磁碟存取, 而HJ 只能掃出作業系統載入程式的情況

	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

Google 提供的廣告