Re: 求救中木馬了..應該怎麼辦

看板NetSecurity (資安資訊安全)作者AxlSlash (I'm nobody.......)時間21年前 (2005/02/09 18:05)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串3/3 (看更多)

※ 引述《mingwangx (器材班，○九三)》之銘言： : ※ 引述《Urza.bbs@bbs.wretch.cc (永遠的初心者)》之銘言： : : 請問一下...... : : 我中了一個叫 TROJ_LENEAGE.A 的病毒 : : 上趨勢網查是木馬病毒.用它教的方法也移不掉(全英文 orz) : : pc-cillin只能找到...也無法移除或隔離 : : 請各位高手幫幫忙 : : 感謝 : 我也遇到一樣的問題。 : 在趨勢的網頁裡，移除這個木馬的方法裡有這個步驟（XP裡）： : Disabling the Malware DLL Process : 1.進入安全模式 : 2.按「執行」 : 3.輸入C:\Windows\System32\regsvr32 /u 中毒的檔案途徑 : 但是，regsvr32沒有辦法順利執行。 : 所以移除過程卡住了。 lineage類型的, 先不要管掃到的DLL檔, 就我的經驗, 先看看以下幾點.... 1.掃毒軟體有沒有掃到exe的檔案? 可能有explorer.exe或Rundll32.exe或internat.exe其中一種有的話把檔案路徑抄下來, 沒有也沒關係.... 2.到 HKLM\Software\Microsoft\WIndows\CurrentVersion\Run 或 RunService 下看看看有沒有哪個路徑是指到上面三個檔案的登錄檔? 應該要有, 且1如果有掃到的話(也有可能會掃不到), 應該會和這登錄檔的檔名一樣 3.收集以上兩點後: A. 備份/刪除第2點看到的登錄檔 B. 重開進安全模式 C. 比對 "正常且相同作業系統" 下的1所掃到的檔案大小, (或2在機碼所看到的檔案) 因為Windows也有正常的Rundll32.exe與internat.exe, 要看檔案位置在哪 D. 比對之後: 正常且相同作業系統: 沒有這個檔案 > 刪掉有這個檔案 > 則copy過來, 在安全模式下置換 E. 順便找一找之前掃毒軟體所掃到的HTDLL.DLL或CT1DLL.DLL或CT2DLL.DLL等有的話刪掉, 不過通常找不到才對.... 以上 "收集資訊" > "砍機碼" > "進安全模式刪除或置換檔案" 後, 重開電腦應該就 OK 了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.162.186.25

Re: 求救 中木馬了..應該怎麼辦

Re: 求救中木馬了..應該怎麼辦