mmcatdog
|
發表於 2008-6-11 10:53 PM |
病毒會躲在 system infomation volume的隱藏檔 啟動程式 拿掉可疑程式
簡單說來每各磁碟區都有這資料匣而此資料匣 常被利用來放還原資料及病毒主檔 應該資料匣一開始並未設定權限所以都無法進入 要進入請變更權限後進去裡面看有沒有.com 或是 .exe 通通砍掉有資料匣大都為無用也一併刪除
safeboot的註冊表 是指你中的這種病毒無法正常進入安全模式 請修正後進安全模式掃毒 如果不會找 System Repair Engineer 2.5.16.900 簡稱 sreng2
該版本沒有中文或者是我沒找到
下載點
國網中心
http://twaren.dl.dler.org/928b42 ... /s/s0031/sreng2.zip
如果不能執行將檔名任意變更後執行即可
點選system repair -- Advanced Reoair---Repair Safe Mode 即可修復大部分無法進入安全模式問題
其他的功能請至行研究 如真不了解再提問
Ps 如果上述回答有錯請自行忽略 另外至上歉意 (應該是沒錯啦 )
| |
asd20235
|
發表於 2008-6-11 12:46 PM |
引用: kone寫到: 
將系 統還原關掉 (病毒會躲在 system infomation volume)的隱藏檔 啟動程式 拿掉可疑程式
用xpe掃吧 如果安全模式進不去 ~ 修複 safeboot的註冊表
應該就能進去了
可否麻煩解釋得清楚一點?
| |
kone
|
發表於 2008-6-6 02:49 PM |
將系統還原關掉 (病毒會躲在 system infomation volume)的隱藏檔 啟動程式 拿掉可疑程式 用xpe掃吧 如果安全模式進不去 ~ 修複 safeboot的註冊表 應該就能進去了
| |
asd20235
|
發表於 2008-6-6 12:57 PM |
恩,連安全模式都被鎖了,看來只有用XPE了...
| |
Ailio
|
發表於 2008-6-5 03:25 PM |
沒遇過這病毒
但根據經驗
這種會中斷程序並且重新啟動的病毒
幾乎都要在安全模式 而且explorer程序先關閉的狀態下
來進行刪除的動作
或是直接使用XPE , Linux LiveCD等 額外的作業系統來作處理
| |
asd20235
|
發表於 2008-6-5 12:47 PM |
從手法看來的確和KAVO很像....
絕對不是亂數產生的,因為到處都是看到這個名稱
只要想用瀏覽器檢索這兩個檔案的名字,瀏覽器就會被關掉...
只要進入檔案所在的資料夾,資料夾也會被關掉...
刪除REG裡面的RUN,常駐程式會自動寫回去
想要直接用取代的,取代用的資料夾(唯讀)會被先更名,然後重新寫入
想用工作管理員直接關閉,工作管理員會先被他關掉XD
只能用結束樹狀程序,但不久之後就回來了
搜尋功能找不到....
重點是....很多電腦都淪陷了
| |
mmcatdog
|
發表於 2008-6-5 01:34 AM |
這應該已經是被監控的部分了 如果沒記錯 explorer.exe 已經有問題了
看看別人的explorer.exe 是否大小不同 如不同先將目前的停止 在執行正確檔案
在利用複製將前檔案覆蓋 在檢查reg中的run 或是使用autoruns試試看
說真的要有點程度才能解這毒 不然利用xpe掃毒吧 這是最簡單 但也最不確定的方式
| |
Ailio
|
發表於 2008-6-3 02:24 PM |
註冊866天在線兩小時 @@ 文章5....
超級潛水大戶 
回歸主題:
這兩支我在google都沒查到是哪之病毒產生的@@
可否提供詳細病毒的名稱 因為很多檔案都是亂數產生的...
說到目前比較有名的亂數產生執行檔的病毒應該以Kavo為大宗 如果是kavo
在google搜尋一下 就有很多移除工具了
如果是其他病毒 等有更詳細資訊才能幫忙解決了
掃毒的話可以用Cureit 這軟體是綠色板的 更新病毒碼也很快
下載以後 進入安全模式掃一次看看
[Ailio 在 2008-6-3 02:25 PM 作了最後編輯]
| |
asd20235
|
發表於 2008-6-3 12:54 PM |
應該很多人都碰過這兩隻病毒吧?當然會問這個問題就是因為....中標了XD
可不可以麻煩有經驗的大大想想辦法.....
感染程序好像是被寫在開機執行檔裡,所以每次花很多功夫清掉之後,只要重開就回來了
| |
