[方案] Rxpmon.exe/Sos.exe病毒

看板AntiVirus (防毒)作者cuteker (風神)時間18年前 (2007/11/19 10:34)推噓2(2推 0噓 0→)

留言2則, 2人參與討論串1/1

在板上沒有搜索到相關的病毒名，所以就自己土法練功了。這幾天上起點中文網看個小說就發現spybot跳出來一堆東西要我確認， crsss"="%system%\RxpMoN.Exe...之類的，然後就發現我的工作管理員被鎖了，因為之前常遇到所以執行regedit，到HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies 底下的System，將DisableTaskMgr那一項改回0 (1的話為禁止使用) 然後到windows\system32底下砍掉rxpmon.exe檔，此時發現系統檔名被隱藏，修正之，後來又發現顯示所有檔案和資料夾也被改掉，修改過後無效，到網路上找到方法: http://qa.pcuser.com.tw/modules/newbb/viewtopic.php?topic_id=30433&forum=2 不過砍掉這個檔還是會再生出來，這時瞄到C:底下多了一個AUToRuN.InF(大小寫夾雜)，網路上找一下發現這東西: http://www.xs2009.cn/PE/List.asp?SelectID=7630&ClassID=19 因此進入安全模式，把windows/system32底下的rxpmon.exe、AUToRuN.InF砍掉，然後有怪怪的檔也砍了.... (好像是1vsto.com還是exe我忘了=.=，有2vs 3vs...等滿多的) 把C槽底下的Sos.exe砍掉，接著去搜尋這三個檔，發現我E槽也有，砍之， (我的D槽是光碟機) 然後發現我的文件夾裡的.htm也被修改了(因為日期變成2000年11月19號) 就順手也砍了，經由上面第二個連結可發現此病毒會感染htm/html/asp..等的檔，因此看是要砍掉還是自行將被加入的網址去除，不過此時發現IE主頁被鎖，因此我使用超級兔子修正之，無此類軟體者可參考以下網頁: http://forum.icst.org.tw/phpBB2/viewtopic.php?t= 7536&view=previous&sid=51693a1b2a471fb0f4cebf2505d5a198 短網址:http://0rz.tw/913hZ 如果開C槽硬碟打不開要你選個程式的話，就到windows\system32底下找explorer開之，以上是我弄了兩三個小時的心得，希望能讓有遇到這玩意的人有點幫助，也希望如果我有弄錯方法或是有更簡便的除毒方式的話，能請先進們分享一下，謝謝。 -- [57 Lesser God] = Apprentice = Ker Dragon Realm 龍域傳奇 220.135.95.242 3000 Dragon Realm 網站：http://220.135.97.151/ 討論板：telnet://bbs.ntu.edu.tw, board: MUD 服務版：http://www.pagras.net/forum -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.143.35.205 ※ 編輯: cuteker 來自: 220.143.35.205 (11/19 10:51)