Re: [問題] 掃到DOS_AGOBOT.HM，隔離後重開機卻又 …

看板AntiVirus (防毒)作者doching (正在逗趣)時間20年前 (2004/05/03 08:41)推噓2(2推 0噓 0→)

留言2則, 2人參與討論串1/2 (看更多)

※ 引述《poki555 (無止境的等待)》之銘言： : 我用pc-cillin2003作全系統掃描，已更新最新病毒碼881及windows update所有更新 : 掃到一隻DOS_AGOBOT.HM， : 而且也把它隔離了，該病毒所在資料夾為C:\WINNT\system32\drivers\etc\hosts : 但重開機後卻又出現了，而且趨勢網頁也上不去，把hots刪掉後又可以上趨勢網頁 : 但重開機後又出現了，以爬過文，似乎沒有大大遇過這件事情， : 我跟我室友都這樣...請各位高手們指點，感激不盡! 上奇摩摩域找到的解決方法(黃色部分是我附註的) users of win xp: 1. 先拔掉網路線 2. 啟動電腦 3. 進入c:\windows\system32\drivers\etc\host 4. 雙點'hosts' 5. 以notepad開啟'hosts' 6. 除了'127.0.0.1 localhost'外, 刪掉其餘地址 (這些地址就是被封鎖的如沒有localhost一項那就在全刪後自己加上) 7. 離開並儲存修改 8. 再到c:\windows\system32\ 9. 找出名為wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe 將之delete 10. 到c:\ 11. 有可能出現約70個exe檔, (假如你在1/5/2003感染病毒, 該70多個exe檔的建立日期就是1/5/2003), 事實上, 那70多個不尋常的執行檔很易被認出. 12. delete那70多個exe檔 13. (開始/執行，輸)入regedit 14. (進入登錄編輯程式) 進hkey_local_machine\software\microsoft\windows\currentversion\run, delete 出現 wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe 的指令 15. 進hkey_local_machine\software\microsoft\windows\currentversion\runservices, delete 出現 wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe 16. 離開並儲存regedit 17. 最後重新開機 and 接上網路線 -- 　　　　　　　　　　　　　　　　　　你今天 doch 了嗎？ -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.122.203.233