RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助] [問題]WIN2003中了INTERNAT.EXE病毒   字型大小:||| 
ken91
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 813
 . 精華: 1
 . 文章: 2836
 . 收花: 6899 支
 . 送花: 2645 支
 . 比例: 0.38
 . 在線: 1950 小時
 . 瀏覽: 8102 頁
 . 註冊: 7151
 . 失蹤: 591
#1 : 2008-7-3 03:56 PM     只看本作者 引言回覆

我雖然在網路上找到解法,但依樣畫葫蘆卻沒有得到一樣的結果.問題在於:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
這裡面找不到:
"[ 任意名字]" = "%ProgramFiles%\rundll32.exe "
"[ 任意名字]" = "%ProgramFiles%\explorer.exe "
"[ 任意名字]" = "%ProgramFiles%\Internat.exe "
"[ 任意名字]" = "C:\Windows \rundll32.exe "
"[ 任意名字]" = "C:\Windows \Internat.exe "
所以進行不下去...
實際上的畫面是:

我有裝SPYBOT,MCAFEE,不曉得是否因此而導致不同.請問如何解決?


(以下為網路上看到的解法)

1.更新病毒定義檔
2.關閉系統還原
3.重開機 進入安全模式
4.掃毒 並刪除受感染檔案
   C:\WINDOWS\system32\T1DLL.dll
5.刪除登入檔
====
以 XP 為例
刪除

%ProgramFiles%\rundll32.exe
%ProgramFiles%\explorer.exe
%ProgramFiles%\Internat.exe
C:\Windows \rundll32.exe
C:\Windows \Internat.exe
真的 rundll32.exe  Internat.exe 是在 C:\Windows\System32
真的 Internat.exe 是在 C:\Windows
到登錄檔  
開始 > 執行 > 輸入 regedit 找到以下路徑
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右邊視窗刪除 以下

"[ 任意名字]" = "%ProgramFiles%\rundll32.exe "
"[ 任意名字]" = "%ProgramFiles%\explorer.exe "
"[ 任意名字]" = "%ProgramFiles%\Internat.exe "
"[ 任意名字]" = "C:\Windows \rundll32.exe "
"[ 任意名字]" = "C:\Windows \Internat.exe "

                                         及其他病毒名稱
==============================
搜尋電腦裡是否有 svhost32.exe  有則刪除

你用 開始>搜尋 點選 所有檔案和資料夾 在第一個欄裏輸入svhost32.exe
然後點 進階選項 會有五個小框框 前三個 都打勾 按 搜尋
然後將找到的有關檔案皆刪了
====
開始>執行 輸入 regedit 按確定 出現一個新視窗
滑鼠點一下左上角的 我的點腦 讓他變藍色(這樣做是確保由頭找到尾)

然後 按 編輯>尋找 在新視窗欄內 輸入 svhost32.exe按 找下一個
找到跟這個有關的就刪除 (在視窗右邊按滑鼠右鍵>刪除)
然後按 f3 他就會繼續尋找下一個 找到就刪 直到 它顯示搜尋完畢


====


那你  按 Ctrl+Alt+Del 打開工作管理員

看裡面有沒有 上面所列的檔案在裡面運行  有則  將其先行關閉

==

=====================

補    充

有人回報 他是關掉 SVChost 注意大小寫 (紅色為大寫 應該是母病毒)

=============================

目前電腦裡 有 svchost 都是小寫

路徑在

C:\WINDOWS\$NtServicePackUninstall$

C:\WINDOWS\system32

C:\WINDOWS\ServicePackFiles\i386

=====

其餘路徑的應該為母病毒 可以刪了   你可以用搜尋 搜尋一下電腦裡的檔案


[ken91 在  2008-7-3 04:01 PM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
dlc007
鍛鐵驢友
等級: 7等級: 7等級: 7


 . 積分: 89
 . 文章: 266
 . 收花: 387 支
 . 送花: 26 支
 . 比例: 0.07
 . 在線: 507 小時
 . 瀏覽: 12096 頁
 . 註冊: 6826
 . 失蹤: 1456
#2 : 2008-7-4 01:39 PM     只看本作者 引言回覆

不一定會有上面的所有檔案, 加上變種的話, 檔案名稱也有可能不同
通常是其中一種到兩種檔案的可能性而已, 所以找不到也沒關係
只要刪除有找到的即可



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
ken91
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 813
 . 精華: 1
 . 文章: 2836
 . 收花: 6899 支
 . 送花: 2645 支
 . 比例: 0.38
 . 在線: 1950 小時
 . 瀏覽: 8102 頁
 . 註冊: 7151
 . 失蹤: 591
#3 : 2008-7-5 06:56 PM     只看本作者 引言回覆


引用:
dlc007寫到:
不一定會有上面的所有檔案, 加上變種的話, 檔案名稱也有可能不同
通常是其中一種到兩種檔案的可能性而已, 所以找不到也沒關係
只要刪除有找到的即可

可是從上面照片看來,沒有找到任何的病毒符合...難道被SPYBOT擋住了沒感染成功?



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
wugen
銀驢友〔初級〕
等級: 12等級: 12等級: 12


今日心情

 . 積分: 491
 . 文章: 1953
 . 收花: 3888 支
 . 送花: 1977 支
 . 比例: 0.51
 . 在線: 1763 小時
 . 瀏覽: 17110 頁
 . 註冊: 6831
 . 失蹤: 4194
#4 : 2008-7-6 09:09 AM     只看本作者 引言回覆

從哪裡判斷中了毒?


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
mmcatdog
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14


 . 積分: 887
 . 文章: 3982
 . 收花: 6309 支
 . 送花: 763 支
 . 比例: 0.12
 . 在線: 378 小時
 . 瀏覽: 43431 頁
 . 註冊: 7382
 . 失蹤: 23
#5 : 2008-7-7 02:36 AM     只看本作者 引言回覆

只對於run中的s3*有疑問 但不一定是病毒
而且有沒有檢查user中的run
如果不清楚試試看使用autoruns試試看 可能淺藏在於service中在利用搜尋將最近一個月當中的檔案作檢查 這病毒應該很簡單才對
如還擔心試試使用xpe掃掃看



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
wugen
銀驢友〔初級〕
等級: 12等級: 12等級: 12


今日心情

 . 積分: 491
 . 文章: 1953
 . 收花: 3888 支
 . 送花: 1977 支
 . 比例: 0.51
 . 在線: 1763 小時
 . 瀏覽: 17110 頁
 . 註冊: 6831
 . 失蹤: 4194
#6 : 2008-7-7 08:55 AM     只看本作者 引言回覆

s3trap.exe 是S3 顯示晶片的程式(VIA 的合版應該都是)


[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
Ailio
版主
等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30等級: 30
鸚鵡螺號 艦長

十週年紀念徽章(五級)  

今日心情

 . 積分: 2664
 . 文章: 6462
 . 收花: 22900 支
 . 送花: 4903 支
 . 比例: 0.21
 . 在線: 2826 小時
 . 瀏覽: 85748 頁
 . 註冊: 7432
 . 失蹤: 99
 . 莫名奇妙的商人星球
#7 : 2008-7-7 11:10 AM     只看本作者 引言回覆

如果電腦有防毒跟防木馬的軟體
其實有時候掃到毒不代表中毒
現在的防毒軟體都有凍結病毒的能力
也就是可以讓它"暫時"不能執行 無法發作
所以不見得會出現中毒的特徵
如果真的發現那些特徵都沒有 檔案刪除之後也沒在掃到
其實多半就沒問題了 尤其是木馬型的病毒
一般木馬 只要被凍結沒執行 刪除後就沒什麼後遺症了



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
dlc007
鍛鐵驢友
等級: 7等級: 7等級: 7


 . 積分: 89
 . 文章: 266
 . 收花: 387 支
 . 送花: 26 支
 . 比例: 0.07
 . 在線: 507 小時
 . 瀏覽: 12096 頁
 . 註冊: 6826
 . 失蹤: 1456
#8 : 2008-7-7 11:51 AM     只看本作者 引言回覆


引用:
ken91寫到:

引用:
dlc007寫到:
不一定會有上面的所有檔案, 加上變種的話, 檔案名稱也有可能不同
通常是其中一種到兩種檔案的可能性而已, 所以找不到也沒關係
只要刪除有找到的即可

可是從上面照片看來,沒有找到任何的病毒符合...難道被SPYBOT擋住了沒感染成功?


一般防毒/防木馬軟體有偵測到都比較沒事,
因為會針對該病毒/木馬做刪除/預防動作
怕是怕沒偵測到的(一般使用者也不太會發現),
還有新安裝防毒/防木馬軟體或更新之後才偵測到的,
那就有可能防毒/防木馬軟體會移除不掉病毒或不完整

所以使用中突然跳出木馬/病毒的就請選擇刪除/解毒,
這樣通常就沒事了, 也不用在去做其他解毒動作



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-5 05:47 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.025509 second(s), 6 queries , Qzip disabled