[轉貼方案] 解決exeroute.exe與WINLOGON.EXE之 …

看板AntiVirus (防毒)作者mizuhara (小胖)時間18年前 (2006/08/06 11:31)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串1/1

由於剛剛小弟才擺脫掉這兩隻病毒的夢魘，而鄉民區又沒有收錄相關的解決法 (還是我沒有找到...) 於是想說把對岸所提供的手動解決法貼上來，分享給大家運用... 正文分隔線正文分隔線正文分隔線正文分隔線正文分隔線正文分隔線正文分隔線正文分隔此病毒所關聯的檔如下，絕大多數檔都是顯示為系統檔和隱藏的。所以要在檔夾選項裏打開顯示隱藏檔，然後逐個刪除，注意不要雙擊以免運行它。 D:\autorun.inf D:\pagefile.com C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com C:\WINDOWS\1.com C:\WINDOWS\iexplore.com C:\WINDOWS\finder.com C:\WINDOWS\exeroute.exe（忘了是不是這個名字了，紅色圖示有傳奇世界圖示的） C:\WINDOWS\Debug\*** Program.exe(也是上面那個圖示，名字忘了-_- 好大好明顯非隱藏的) C:\Windows\system32\command.com 這個不要輕易刪，看看是不是和下面幾個日期不一樣而和其他檔日期一樣，如果和其他檔大部分系統檔日期一樣就不能刪，當然系統檔肯定不是這段時間的。 C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com C:\Windows\system32\a.exe [不過小弟處理時，並未發現此一檔案] 還有一個頭號檔WINLOGON.EXE，一定得刪除它！ C:\Windows\WINLOGON.EXE 這個在進程裏可以看得到，有兩個，一個是真的，一個是假的。真的是小寫winlogon.exe，（不知你們的是不是），用戶名是SYSTEM，而假的是大寫的WINLOGON.EXE[一樣是紅龍LOG，算滿好認的]，用戶名是你自己的用戶名。 ^^^^^^^^^^^^ 這個檔在進程裏是中止不了的，說是關鍵進程無法中止，搞得跟真的一樣！就連在安全模式下它都會呆在你的進程裏。可以先把其隱藏屬性解除掉，然後再用光碟啟動進入DOS模式刪除它！把那些檔刪掉後，所有的exe檔全都打不開了，運行cmd也不行。到C:\Windows\system32 裏，把cmd.exe檔複製出來，比如到桌面，改名成cmd.com，然後運行可以進入到DOS下的命令提示符。再打入以下的命令： assoc .exe=exefile （assoc與.exe之間有空格） ftype exefile="%1" %* 這樣exe檔就可以運行了。運行regedit，進註冊表，到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 裏面，有一個Torjan pragramme[小弟看到的是Torjan pragram，但應該是一樣才對]，這個明擺著"我是木馬"，刪！！開機進入系統時會跳出一個警告框，說檔"1"找不到。再運行"regedit"，打開註冊表，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 中把"Shell"="Explorer.exe 1"恢復為"Shell"="Explorer.exe" 大功告成！正文完結線正文完結線正文完結線正文完結線正文完結線正文完結線正文完結線正文完結據說這傢伙是專找BT的病毒...那...以後可怎麼辦啊~~~XD -- 我叫月不全孤獨缺，孤是定孤支的孤我叫陰川蝴蝶君，陰是陰險狡猾的陰 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 124.8.27.119