Re: [中毒] 電腦中毒: 卡巴無法更新,網路自動斷線, …

看板AntiVirus (防毒)作者lucki (12)時間17年前 (2009/01/19 22:40)推噓2(2推 0噓 3→)

留言5則, 3人參與討論串2/2 (看更多)

感謝f大我照著做後發現C:\del /f /q C:\WINDOWS\system32\afmain0.dll 其實沒有被拒絕存取最後確認機碼沒有被改成0 似乎是都刪掉了樣子不過我又重裝卡巴後卡巴仍無法更新(是要我放棄卡巴的意思嗎) 甚至現在連諾頓都灌不了而且網路仍然不太穩定還有以往要自己連線現在開機後就一直自動跳出來要我連線所以我又重新測試了一下希望f大能再幫我看一下是否還有毒真的十分感謝您 Combofix :http://sun.cis.scu.edu.tw/~92a39/upload/34223.txt Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/34224.txt SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/34225.txt 找到efix480:http://sun.cis.scu.edu.tw/~92a39/upload/34231.txt ※ 引述《faris1003 (Gun & Rose)》之銘言： : 前言恕刪 : : SRENG : http://sun.cis.scu.edu.tw/~92a39/upload/34219.txt : 從上述SRENG報告，你電腦內有中kavo系列 : C:\WINDOWS\system32\uret463.exe : C:\WINDOWS\system32\kacsde.exe : C:\WINDOWS\system32\lhgjyit1.dll : C:\WINDOWS\system32\afmain0.dll : C:\WINDOWS\system32\godert1.dll : C:\y319s.exe : D:\y319s.exe : E:\y319s.exe : 沒有Efix用的話，那就手動刪除吧 : 先把電腦重開機，最好是到安全模式啦 : 不會的話，一般模式也行 : 如果要在一般模式下的話，最好把不必要的程序關一關，千萬不要點擊我的電腦 : 然後從左下角的開始 → 執行 → 在開啟的欄位輸入cmd (呼叫命令提示字元) : 就會出現dos視窗顯示如下： : C:\Documents and Settings\你電腦名稱> : 接下來操作如下： : C:\Documents and Settings\你電腦名稱>cd\ : C:\ : C:\taskkill /f /im explorer.exe : C:\explorer.exe : C:\attrib -s -h -r C:\y319s.exe : C:\del /f /q C:\y319s.exe : C:\attrib -s -h -r D:\y319s.exe : C:\del /f /q D:\y319s.exe : C:\attrib -s -h -r E:\y319s.exe : C:\del /f /q E:\y319s.exe : C:\attrib -s -h -r C:\WINDOWS\system32\uret463.exe : C:\del /f /q C:\WINDOWS\system32\uret463.exe : C:\attrib -s -h -r C:\WINDOWS\system32\kacsde.exe : C:\del /f /q C:\WINDOWS\system32\kacsde.exe : C:\attrib -s -h -r C:\WINDOWS\system32\lhgjyit1.dll : C:\del /f /q C:\WINDOWS\system32\lhgjyit1.dll : C:\attrib -s -h -r C:\WINDOWS\system32\godert1.dll : C:\del /f /q C:\WINDOWS\system32\godert1.dll : C:\attrib -s -h -r C:\WINDOWS\system32\afmain0.dll : C:\del /f /q C:\WINDOWS\system32\afmain0.dll : 存取被拒←按照我的經驗，這隻通常會這樣，所以用改名重開機的方式 : C:\ren C:\WINDOWS\system32\afmain0.dll 123.abc : C:\regedit : 找機碼 : 1. : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] : 刪除值 : <dorfgwe><C:\WINDOWS\system32\uret463.exe> : <anhtaaa><C:\WINDOWS\system32\kacsde.exe> : 2. : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] : 刪除值 : <{BB4C402F-882A-4526-8C08-51278EA437C1}><C:\WINDOWS\system32\afmain0.dll> : 執行到此，把電腦重開，重開回windows之後 : 一樣的動作開啟命令提示字元 : C:\del /f /q C:\windows\system32\123.abc : C:\regedit : 找機碼 : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] : 把 CheckedValue 的值改成 1 : 按F5刷新看看，看有沒有被改回0 = = : 如果沒有的話，病毒應該都成功清理 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.115.151.109 ※ 編輯: lucki 來自: 59.115.145.123 (01/19 23:23) ※ 編輯: lucki 來自: 59.115.145.123 (01/19 23:24) ※ 編輯: lucki 來自: 220.133.111.223 (01/20 00:30)