Re: [中毒] brontok.c + □身碟病毒

看板AntiVirus (防毒)作者security00 (資安)時間17年前 (2009/04/15 18:58)推噓0(0推 0噓 1→)

留言1則, 1人參與討論串2/4 (看更多)

※ 引述《davidyee (kerokero)》之銘言： : PO文請使用下列格式並將有要求的檔案附上 : 資料越詳細才有辦法了解情況並作適當處理 : 1.問題描述： : 請在下面說明碰到的中毒情形，越詳細越好(可貼圖說明)： : 主要應該是中了brontok.c 之後隨身碟也讀不到 : 中毒後不能使用regedit, 也不能進入document and setting 修改, : internet explorer 自動關閉, combofix,hijackthis也不能使用 : 因此網路上的教學都行不通 : 以小紅傘刪除中毒檔案後會自動重生 : 此外會在資料夾中新增同檔名的新資料夾 : 4.報告連結： : 請將掃描報告(log)貼於下方 (上面的全要) : Combofix ：從缺 : Hijackthis：從缺 : SRENG ：http://sun.cis.scu.edu.tw/~92a39/upload/34954.txt : 掃毒報告：http://sun.cis.scu.edu.tw/~92a39/upload/34953.txt : efix :http://sun.cis.scu.edu.tw/~92a39/upload/34951.txt : 感謝幫忙 Orz 先聲明一下如果還是沒辦法可能要有重灌的心裡準備所以執行以下動作時請先備份重要文件如果你有看過我的方法後請刪除以下所列的： C:\Documents and Settings\david\Local Settings\Application Data\smss.exe C:\WINDOWS\ShellNew\sempalong.exe C:\WINDOWS\eksplorasi.exe C:\windows\system32\UACpalqdawq.dll C:\windows\system32\ UACmxwuxbug.dll ---------------------------------------------------------------------------- 使用sreng修復註冊表 <Tok-Cirrhatus><"C:\Documents and Settings\david\Local Settings\Applicatio.. <Bron-Spizaetus><"C:\WINDOWS\ShellNew\sempalong.exe"> [] 將上列2個刪除然後找一台乾淨的電腦把 Explorer.exe 替換到你的電腦然後系統修復 >>HOST文件選擇重置 ----------------------------------------------------------------------------- 至於regedit 不能使用請到執行輸入 gpedit.msc 展開使用者設定 -系統管理範本-系統在右邊視窗找到禁止存取登錄編輯器雙擊2下選擇已停用接下來複製以下內容 Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system] "DisableRegistryTools"=dword:00000000 存在計事本檔名任意但是後面要加.reg 點擊2下按是即可 --------------------------------------------------------------- 補充:你說USB讀取不到有可能是登錄檔被竄改了複製以下內容 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USBSTOR] "Start"=dword:00000003 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.229.66.133