|
2009-07-05, 11:29 PM
|
|
|
註冊會員
|
求助 - 整個系統的語言顯示好像都有被病毒或木馬入侵的跡象
-------------------- 閱讀本主題的最佳解答 -------------------- 各位大大好,我的電腦最近兩天出現了讓我很頭痛的兩大問題: (一)數小時前在網路上隨意瀏覽一些個人的部落格,但在瀏覽到一個屬於百度網域的部落格後,電腦就出了很大的問題了。 首先是被強硬植入會不定時自動開啟新廣告網頁的軟體,都是連到簡體字的網站去。然後首頁也被改,才知道原來是無形中被迫灌了某個廣告軟體,還好在新增移除程式那找到這個軟體,並且把它移除成功。可是後來仍是不對勁,仍然會每隔幾分鐘就開新網頁出來,於是我用了Rogue Cleaner惡意軟件清理程式來做一個大清理,找到十幾個可疑物件,就全部把它們刪除,可是有一個檔案怎麼刪也刪不掉,系統雖說重開了會試著刪除但其實刪不掉。還有另外一個,每次都刪得掉,但又會自動浮現出來,也就是說只是表面刪掉,其實並沒刪乾淨,那個檔案名叫做「Yahoo助手」。 後來也就沒有新網頁跳出來了。可是我發現我電腦裡原本運行正常的「繁體中文」部份軟體,開啟時竟然完全變成亂碼,雖然功能正常可是就是整個語系都變了。 然後也很扯的是我瀏覽大部份的繁體中文網頁時(像google),字體全部都不是新細明體了,就是變成大陸網站會出現的那種比較醜一點的字體,更甚者甚至整個變成亂碼,而且我調編碼,不管是調成繁中、簡中、unicode,全部都還是亂碼,完全不能瀏覽。很顯然這是癱瘓了我大部份的正常語言文字顯示功能。 Rogue Cleaner說刪不掉的那個檔案名稱,是832772C0.DLL,在c槽 WINDOWS檔案夾裡的Fonts檔案夾中。我找到那個檔案,我覺得那應該是病毒附體的元兇,想要用unlocker把它解鎖然後刪掉,結果unlocker全部變成亂碼了,而且也無法解鎖。 我又想試試系統還原,結果竟然無法啟動。就是點了以後,滑鼠鼠標變成沙漏約0.5秒後又恢復原狀,整個就沒反應,不管試幾次都是這樣很迅速的就啟動失敗了。 (二)這個發生的情形更早一天,也就是昨天就忽然有這個情形了。 從昨天早上大約六七點左右,我發現不管瀏覽什麼網站,都不會再被記錄到ie的記錄功能中,可是尋找過往瀏覽記錄的功能仍是完整的存在著,也就是說要尋找星期六早上以前到數星期前的瀏覽記錄都可以自由的查尋,但其之後不管瀏覽任何網站記錄都是空白一片。重開機後情形依舊沒變。IE好像中止了記錄瀏覽網站的功能一樣,可是又可以如常的尋找星期六以前所有看過的網頁。我的硬碟空間也還足夠,所以應該不是空間不夠的問題,可是又無法解決。 這兩個棘手的問題,極待有經驗的前輩為我指點解惑,謝謝! |
|
送花文章: 63,
|
|
有 2 位會員向 wulom 送花:
|
|
2009-07-08, 12:43 PM
|
#16 (permalink) |
|
長老會員
 |
API HOOK
RVA 錯誤: LoadLibraryA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: LoadLibraryExA (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: LoadLibraryExW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: LoadLibraryW (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 錯誤: GetProcAddress (危險等級: 高, 被下麵模組所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) ---------------------------------------------------------------------- 有問題的是上面這個 kilf.sys 這是個假的卡巴斯基檔案,會置換掉卡巴真的檔案 趨勢的ICEEAN清的掉,清掉後重開機時 卡巴自動更新會自動在裝回正確的 上個月才剛清一台電腦中這隻病毒 |
|
__________________ 常被電腦玩 |
|
|
|
送花文章: 1413,
|
|
有 3 位會員向 october_pc 送花:
|
|
2009-07-08, 04:36 PM
|
#17 (permalink) |
|
長老會員
|
病毒不管新舊, 都能解決的, 重點是方法
上述步驟 1 只要能刪除 "註冊表" 值就行了 步驟 2 比較關鍵, 要以 安全模式登入windows 再以卡巴掃描, 才能刪除 其實你有卡巴了, 其他掃木馬軟體就多餘了 klif.sys 暫時別管它, 那不一定有問題 若卡巴在安全模式下無法掃描, 上述列出那些有問題的檔案在安全模式下也應該能直接手動刪除 若安全模式下還是不能做任何事, 那就用 winpe 光碟(必備, 修復系統很有用)開機, 再以光碟內的防毒軟體掃描硬碟 事實上你的問題不大, 只是處理的程序比較複雜, 要用上的工具軟體也比較多, 在論壇上沒辦法一步一步教你 |
|
__________________ 刑天舞干戚
|
|
|
|
送花文章: 6,
|
|
有 3 位會員向 plunderer 送花:
|
|
2009-07-08, 09:35 PM
|
#18 (permalink) | ||
|
註冊會員
|
引用:
我安裝了您說的趨勢的那個軟體,使用途中,掃到約75%時,就卡死住了,系統是沒有因此當掉,但不管放置多久,甚至數個小時,就變成沒有回應了。再試了幾次也是一樣會卡死…而沒有辦法解開那團難纏的病毒。  引用:
1.那些異常的註冊表如果要做任何的修改或刪除,均會出現「無法刪除」、「死當」、或「強制關閉該防毒程式的」任一種情形,等於是那一團壞檔案至今仍是完整的存在於c槽中,無法動其一根汗毛。 2.我欲以安全模式進入windows,不論是選擇單純的安全模式、或是含指令、含網路功能的安全模式,按確定後,電腦像dos模式那樣自動執行一些程序後的五秒鐘內,就一定會跳入英文藍底白字的死當畫面裡。試了很多次都一樣。現在那台電腦已經變成完全無法開機了,只能暫時用另一台電腦上網… 到這樣田地,厲害的前輩先進們不知還有無其它可嘗試的解決辦法? |
||
|
|
送花文章: 63,
|
|
有 2 位會員向 wulom 送花:
|
|
2009-07-08, 09:58 PM
|
#19 (permalink) |
|
長老會員
|
1
用 Wsyscheck http://mafia.myweb.hinet.net/file/Wsyscheck.zip "Tools" => "Fix Boot Safe Mod" 修復安全模式 重新開機, 看能不能進入安全模式 2, 若還是不能進入安全模式, 就用 XueTr http://mafia.myweb.hinet.net/file/XueTr.7z "文件" 列表中, 找出欲刪除的檔案, 按右鍵, "強制刪除" P.S 這兩個都是強效工具, 若不清楚用途, 切勿使用其他功能 |
|
|
送花文章: 6,
|
|
有 3 位會員向 plunderer 送花:
|
|
2009-07-08, 10:08 PM
|
#20 (permalink) | |
|
註冊會員
|
引用:
|
|
|
|
送花文章: 63,
|
|
有 2 位會員向 wulom 送花:
|
|
2009-07-08, 10:14 PM
|
#21 (permalink) |
|
長老會員
|
那只能用 winpe 光碟開機了 http://www.duote.com/soft/8624.html 簡體中文的 PE 系統功能比較齊全, 問題也較少 下載後燒成光碟, 把電腦 bios 設成 CD-ROM 開機就行了 此帖於 2009-07-08 10:32 PM 被 plunderer 編輯. |
|
|
送花文章: 6,
|
|
有 4 位會員向 plunderer 送花:
|
|
2009-07-08, 11:59 PM
|
#22 (permalink) | |
|
長老會員
|
引用:
先清掉API HOOK的問題在看安全模式能進嗎 這個軟體還不盡完善但還夠用 安裝完更新後可能會變亂碼 到右上第3格改成正體中文在掃描 可能要清2次...怪怪的 有些查到的API HOOK機碼要第2次才清的掉 清完後再用ICLEAN看看能動嗎 建議您註冊史萊姆...有很多資源能用 |
|
|
|
送花文章: 1413,
|
|
有 3 位會員向 october_pc 送花:
|
|
2009-07-09, 05:43 AM
|
#23 (permalink) | ||
|
註冊會員
|
引用:
我下載並燒錄後,是可以用光碟進去系統了。不過努力了數個小時,暫時還無法破解這個病毒。 順利進去系統後,有把您提供的Wsyscheck及XueTr都傳送至該電腦欲開啟,但不知是病毒問題、相容問題、還是語系的問題,我解壓縮Wsyscheck時,雖然有跑到100%好像即將要開啟程式的狀態,但仍是就此沒有任何反應而無法開啟程式。XueTr開啟時則是顯示「加載驅動失敗」的字樣,然後開出一個空殼子的操作版面,就是每個選項文字都存在,但點進去每個欄目都是空白的。我發現此模式下很多的應用程式似乎無法成功開啟或開啟不完全,不曉得是什麼原因。 另外在winpe系統中仍是無法開啟我的卡巴7.0。不過可以開啟"System Repair Engineer",在啟動專案的註冊表裡,看到了那幾個中毒的註冊檔,但不知為何數量只顯示主要的六、七個而已。不像之前全部刪不掉的有數十個。不過在winpe裡依舊無法更動或刪除那些中毒的註冊檔。 後來我用該winpe裡內附的卡巴6.0進行全機掃毒,掃了四、五個小時才掃完,竟然說沒掃到半隻毒。我又從另一台電腦下載了簡體中文的卡巴8.0試用版傳送到該台中毒的電腦,想說最新版的應該掃得出毒,清不清得掉得要碰碰運氣,結果安裝時,程式跑到48%就卡死不動了。 附帶一提,在那台中毒的電腦昨天最後一次關機之前,為了能確實執行安全模式,我有在[ 執行 ]的部份輸入msconfig,然後選Boot.ini,然後再將SAFENOOT打勾,才關機的。原本以為可以再以安全模式進入掃毒後再改回來,想不到從此若正常開機就一定會進入那個藍底白字的死當畫面。 引用:
所以如上述內容總歸納一下,現在是可以用winpe光碟開機了。可是無法執行一半以上的程式、仍無法解除該病毒的毒性、以及無法以安全模式進入系統。請問前輩們我應該再做什麼樣的設定、或是嘗試哪些軟體程式才可能可以改善這個情境呢? 此帖於 2009-07-09 06:03 AM 被 wulom 編輯. |
||
|
|
送花文章: 63,
|
|
向 wulom 送花的會員:
|
|
2009-07-09, 07:55 AM
|
#24 (permalink) |
|
長老會員
|
winpe 是受限制的系統, 且是在光碟上, 本來就很多程式無法執行及安裝
再者, winpe 下執行 Wsyscheck, XueTr, System Repair Engineer 等系統工具是沒有意義的, 因為此時並非處於原來硬碟中的作業系統下, 系統工具是找不出問題的 用 winpe 開機, 主要目的是刪除原本硬碟中無法刪除的檔案: <C:\WINDOWS\fonts\xbpCfXnG6wUVF.fon> [] <C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon> [] <C:\WINDOWS\fonts\A97CRaCB.fon> [] <C:\WINDOWS\fonts\uXUsF2RrQy.fon> [] <C:\WINDOWS\fonts\tY5UFS434YYd.fon> [] <C:\WINDOWS\fonts\MqppW9KYn.fon> [] <C:\WINDOWS\system32\GsfMwDWD3.dll> [] <C:\WINDOWS\system32\EN7hzSreCat8.dll> [] <C:\WINDOWS\system32\ybM7kf9heVHDx.dll> [] <C:\WINDOWS\system32\qB5BKZy7vR5m.dll> [] <C:\WINDOWS\system32\A0C86020.dll> [] <C:\WINDOWS\system32\dktXFYbT3G.dll> [] <C:\WINDOWS\system32\xg4hAPNygs29.dll> [] <C:\WINDOWS\system32\76B9BA7A.dll> [] <C:\WINDOWS\system32\dhDhwS7fFW.dll> [] <C:\WINDOWS\system32\skcfujQ5EDN.dll> [] <C:\WINDOWS\system32\RhdwE8NYdbqQ.dll> [] <C:\WINDOWS\system32\122B901E.dll> [] 注意: 因為是用PE光碟開機, 所以 C: 是指光碟, 而原來硬碟中所有的磁碟代號都會後移 |
|
|
送花文章: 6,
+50 金幣
|
|
向 plunderer 送花的會員:
|
|
2009-07-09, 08:37 AM
|
#26 (permalink) | ||
|
註冊會員
|
引用:
您說的c槽是指光碟,意思是說我上述那些病毒檔案的真正位置是在d槽? 我在pe裡開我的電腦,看到該光碟所屬磁碟代號是"b" 叫RAMDisk 0.98mb 而我的c、d、e槽裡頭的檔案容量、還有檔案,都沒有變動。 引用:
|
||
|
|
送花文章: 63,
|
|
2009-07-09, 09:26 AM
|
#27 (permalink) |
|
註冊會員
|
剛才在System Repair Engineer裡,啟動專案裡的boot.ini,找到了將安全模式數字(1)修改為(0)的方框。後來重開機時,電腦先亮出一個dos畫面,說只能二選一啟動,分別是有一大串含有"windows professional"文字的選項,以及傳統win XP的選項,我選了第一項點進去,說找不到某個system32底下的.dll檔案,無法啟動;便以傳統win xp啟動,就進入CHKDSK修復磁碟的三步驟畫面,一樣是第一步驟很快就100%,可是第二步驟0%動都不動,所以我又重開直接跳過此步驟,現在是可以正常進入桌面了,可是一進入就又出現那個中毒螢幕七彩底色交替、按掉後每兩分鐘重現一次的中毒現象。另外系統有自動跳出「公用設定程式」,裡面自動勾選的「啟動」項中:我看不懂的項問名稱有hpoddt01.exe、Hare、ctfmon、m26、nn、hkcmd、igxftray、dumprep 0 - k,請問前輩們是否能認出這裡面有哪些是病毒、而哪些是重要的程式的?
另外現在打算用XueTr強制刪毒檔看看是否可以奏效。 |
|
|
送花文章: 63,
|
|
2009-07-11, 11:46 AM
|
#29 (permalink) |
|
註冊會員
|
這兩天用了a-squared Free掃含有風險的程式,cookies,及註冊表。一共掃到了近200個的木馬病毒檔案存在在各種路徑裡,原本單純使用軟體的刪除功能是刪不掉的,但plunderer前輩介紹的強效軟體XueTr真的很好用,我將它們全部依序手動刪除,並都使用了「強制結束進程並刪掉文件」的選項,真的不拖泥帶水,一刪就掉;刪完後發現這病毒發作的症狀也就消失得一乾二淨了。全刪完後,又用了數套軟體進行了全機掃描,這次連october大大推荐的趨勢的ICEEAN也可以成功跑完了。
所以困擾我數天的這頑強的病毒總算徹底清掉了,這個主題的核心部份,這次終於「已解決」了。再這裡要深深的感謝熱心提供、指點我各種實用救急軟體和處方的前輩、大大們。這中間有一點是plunderer前輩敏銳的發現我原本以為解決了的問題其實尚未解決,持續耐心的敘述很多解毒知識,並讓我能很快燒一塊winpe光碟進入系統解除安全模式,然後再用XueTr清除掃到的毒。因此最佳解答的部份,就選給那篇winpe提供點的文章,做為代表。 希望未來仍能有機會再向各位高手、達人請益電腦知識! |
|
|
送花文章: 63,
|
|
向 wulom 送花的會員:
|
平板模式
