TWed2k - 軟體求助討論區 - [求助]中了一個奇怪木馬無法清除

acrd
白銀驢友

今日心情

．積分： 1475
．文章： 1204
．收花： 12488 支
．送花： 2492 支
．比例： 0.2
．在線： 2460 小時
．瀏覽： 15492 頁
．註冊： 8145 天
．失蹤： 0 天

#1 : 2007-9-6 11:16 PM 只看本作者	送花 (0) 送出中...

偵測到
------
狀態物件
---- ----
未發現: 特洛伊木馬程式 Trojan-Dropper.Win32.Agent.bso 檔案: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bd9.sys
已偵測: riskware Invader 執行程序: C:\WINDOWS\system32\verclsid.exe
未發現: 特洛伊木馬程式 Trojan-Dropper.Win32.Agent.bso 檔案: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\q.sys
未發現: 特洛伊木馬程式 Trojan-Dropper.Win32.Agent.bso 檔案: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\9v.sys
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.Moninet.b 檔案: c:\windows\system32\drivers\avp.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd 檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\OJUJ2W0E\ubs[1].exe
已偵測: riskware Invader 執行程序: C:\WINDOWS\explorer.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd 檔案: C:\WINDOWS\system32\ubs.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd 檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GHMB0LQN\ubs[1].exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.Moninet.b 檔案: C:\program files\internet explorer\plugins\820148.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.bnd 檔案: C:\system volume information\_restore{694b6640-e511-45f9-addb-d9a729c9674c}\rp7\a0016646.exe
已刪除: 廣告軟體 not-a-virus:AdWare.Win32.AdAgent.j 檔案: C:\system volume information\_restore{694b6640-e511-45f9-addb-d9a729c9674c}\rp7\a0016668.exe
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.Moninet.b 檔案: C:\system volume information\_restore{694b6640-e511-45f9-addb-d9a729c9674c}\rp7\a0016702.exe
已偵測: riskware Trojan.generic 執行程序: C:\WINDOWS\system32\ubs.exe
已偵測: riskware Invader 執行程序: C:\WINDOWS\Explorer.EXE
未發現: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.caw 檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CJKF8RZ3\ubs[1].exe
已偵測: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.caw 網址: http://www.microsofttw.com/gto/ubs.exe這是病毒別下載
已刪除: 特洛伊木馬程式 Trojan-PSW.Win32.OnLineGames.caw 檔案: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\9VVHNXJK\ubs[1].exe

每次發作前的徵兆會先啟動C:\WINDOWS\Explorer.EXE
一旦沒拒絕此程序電腦中就會跑出ubs等的木馬警告
然後電腦裡的執行程序中會增加一個IEExplorer.EXE (PS 只佔記憶體64K)
已嘗試很多套木馬清除程式依舊無解

HELP!!! HELP!!!

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

acrd
白銀驢友

今日心情

．積分： 1475
．文章： 1204
．收花： 12488 支
．送花： 2492 支
．比例： 0.2
．在線： 2460 小時
．瀏覽： 15492 頁
．註冊： 8145 天
．失蹤： 0 天

#2 : 2007-9-6 11:26 PM 只看本作者	送花 (0) 送出中...

將檔案送到這分析http://www.virustotal.com/zh-tw

反病毒引擎版本最後更新掃瞄結果
AhnLab-V3 2007.9.5.0 2007.09.06 -
AntiVir 7.6.0.5 2007.09.06 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.09.06 -
Avast 4.7.1029.0 2007.09.06 -
AVG 7.5.0.485 2007.09.06 -
BitDefender 7.2 2007.09.06 Packer.Malware.NSAnti.I
CAT-QuickHeal 9.00 2007.09.06 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.09.06 -
DrWeb 4.33 2007.09.06 -
eSafe 7.0.15.0 2007.09.04 suspicious Trojan/Worm
eTrust-Vet 31.1.5114 2007.09.06 Win32/NSAnti
Ewido 4.0 2007.09.06 -
FileAdvisor 1 2007.09.06 -
Fortinet 3.11.0.0 2007.09.06 -
F-Prot 4.3.2.48 2007.09.06 -
F-Secure 6.70.13030.0 2007.09.06 W32/OnlineGames.gen31
Ikarus T3.1.1.12 2007.09.06 Packer.Malware.NSAnti.I
Kaspersky 4.0.2.24 2007.09.06 -
McAfee 5113 2007.09.05 New Malware.w
Microsoft 1.2803 2007.09.06 -
NOD32v2 2509 2007.09.06 Win32/Pacex
Norman 5.80.02 2007.09.06 W32/OnlineGames.gen31
Panda 9.0.0.4 2007.09.06 Suspicious file
Prevx1 V2 2007.09.06 Generic.Malware
Rising 19.39.32.00 2007.09.06 -
Sophos 4.21.0 2007.09.06 -
Sunbelt 2.2.907.0 2007.09.06 -
Symantec 10 2007.09.06 -
TheHacker 6.1.9.179 2007.09.06 W32/Behav-Heuristic-062
VBA32 3.12.2.4 2007.09.06 -
VirusBuster 4.3.26:9 2007.09.06 -
Webwasher-Gateway 6.0.1 2007.09.06 Trojan.Crypt.NSPM.Gen

附加訊息
File size: 98814 bytes
MD5: da448864a683f35c6ddbaa737dfeef18
SHA1: eba4c01d7e097aeaf440a9af8a4010fdc19116f5
Prevx info: http://fileinfo.prevx.com/filein ... 1822F9E820069BFF725

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mr0
純金驢友

最近網路斷斷續續.....

．積分： 3732
．文章： 6430
．收花： 33738 支
．送花： 47436 支
．比例： 1.41
．在線： 633 小時
．瀏覽： 92432 頁
．註冊： 7255 天
．失蹤： 0 天

#3 : 2007-9-6 11:43 PM 只看本作者	送花 (0) 送出中...

.......是我的建議
如果沒有啥不可失去的東西
最好是重灌(包括格式化C,D.....碟)
比較省時也可以回到最乾淨的狀態
因為木馬常常都在亂跑
真的要抓完會很麻煩

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

mmcatdog
銀驢友〔高級〕

．積分： 887
．文章： 3981
．收花： 6306 支
．送花： 763 支
．比例： 0.12
．在線： 378 小時
．瀏覽： 43411 頁
．註冊： 7335 天
．失蹤： 237 天

#4 : 2007-9-7 05:27 PM 只看本作者	送花 (0) 送出中...

不是無解而是先進安全模式清除登錄檔中的開機啟動區如run ,notift,service等移除即可解除問題在將explorer.exe 外掛中的程式卸載就可解除問題

但如果只想重新安裝那就重裝吧
至於使用windows pe的人就試試看吧不要以為單單刪除檔案就可以清除病毒
一但上網捲土重來的機會決對大於一般刪除方式

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

ctc226
青銅驢友

浪跡天涯飄零人

今日心情

．積分： 244
．文章： 1123
．收花： 1686 支
．送花： 12561 支
．比例： 7.45
．在線： 889 小時
．瀏覽： 30897 頁
．註冊： 7252 天
．失蹤： 1399 天
．不可說

#5 : 2007-9-7 05:30 PM 只看本作者	送花 (0) 送出中...

先更新病毒庫後
重新開機按F8進"安全模式
全機掃瞄 KIS 6 以上應該可以處理掉

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

sueice
銀驢友〔中級〕

．積分： 698
．文章： 895
．收花： 6308 支
．送花： 904 支
．比例： 0.14
．在線： 2867 小時
．瀏覽： 17992 頁
．註冊： 7153 天
．失蹤： 4340 天

#6 : 2007-9-8 06:50 AM 只看本作者	送花 (0) 送出中...

我也贊成重灌，既然有木馬，
就算你今天掃除了，還是代表您的電腦有安全性問題，
乾脆全部格式化，然後安裝防毒軟體、防火牆、進行Windows Update。
才是根本解決之道.......

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

polarstar
銀驢友〔初級〕

今日心情

．積分： 400
．文章： 1565
．收花： 2848 支
．送花： 4054 支
．比例： 1.42
．在線： 2894 小時
．瀏覽： 41393 頁
．註冊： 8130 天
．失蹤： 193 天

#7 : 2007-9-9 10:36 PM 只看本作者

送花 (4)

評分:+1

木馬基本上就是開機常駐，掃毒才沒辦法刪的乾淨
若能找到方法清除，並把執行檔砍掉，你的系統就會是個乾淨的系統了!!
不見得一定要重灌~

============================

系統中木馬後，可以用微軟所提供的免費

工具將可疑的程序給移除!!

--------------------------------------------------------------------------------

一、Process Explorer：(http://www.microsoft.com/technet ... rocessExplorer.mspx)

這程式的做用，就跟你按Alt+Ctrl+Del所叫出的「工作管理員」裡的「處理程序」是一樣的東西

差別在於，他有更詳細的標示出每個程序的公司等資訊，那這有什麼用勒？若是惡意的木馬程式，他

總不會標示他是誰做的吧!!所以第一步就可以從這邊下手，找出可疑的程序(先找深紫色的程序，通常

木馬程式都是這類型的)，或看company name就能知道那個是有問題的程式了，然後配合第二支的

程式，將一開始就會啟動的木馬程式給移除，並把所執行的檔案都砍掉就可以了!

(圖片來源：微軟TechNet)

二、AutoRuns：(http://www.microsoft.com/technet ... reads/Autoruns.mspx)

執行後，將功能切換至「Logon」，裡面就是一開機就會自動載入的程式，配合第一支的程式

，將那些可疑的程序都先不勾，等重開機後不會影響系統再殺掉。重開機後，你就可以照著程式所

指的路徑，把那些執行檔給刪掉，若沒辦法刪掉，就進安全模式去刪。

(圖片來源：微軟TechNet)

--------------------------------------------------------------------------------

PS.請小心使用，一不小心會照成系統損毀！！

[polarstar 在 2007-9-9 10:50 PM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆