[心得] 電腦中 eset 相關處理分享

看板Nethood (電腦入門)作者laechan (小太保)時間16年前 (2010/04/21 10:26)推噓0(0推 0噓 1→)

留言1則, 1人參與討論串1/1

剛剛幫我課長處理他電腦的中毒情況，有些東西跟大家分享。eset 這東西的特性是.. 一、電腦的系統還原被強制啟動，並且無法關閉 =>所以再怎麼掃毒都沒效二、它會 down 一堆毒下來如 kavo(隨身碟相關)。 =>電腦C槽下 attrib *.* 會看到一堆 SHR 的 .exe、.bat 三、[服務]部份會出現 npkcsvc 這東西四、IE 的首頁被綁架、網際網路選項的[一般]頁面消失、以及網路有通、但是IE無法正確開啟頁面 (裝firefox的話firefox 可以連上網路, IE不行) 它偽裝成一個防毒的東西(ESET NOD32)，但實際上只有名字一樣，它會在 c:\windows\system32 裡面出現兩個檔案.. 1)eset*.exe 2)eset數字*.dll 這兩個檔案以 attrib 指令去看屬性都是 SHR。我的處理步驟是.. 一、抓 efix (這是出自 ptt 某人之手) => 它可以掃掉大部份不乾淨的東西二、開命令提示字元到 c:\ 下按 attrib *.* 然後砍掉一些 SHR 的. 有幾個不能砍.. 1)boot.ini 2)bootfont.bin 3)IO.sys 4)MSDOS.sys 5)NTDETECT.com 6)ntldr 7)pagefile.sys 三、重開機進入安全模式，然後重覆上面的一跟二四、再來才是跟這個板有相關的。在安全模式按 regedit 叫出註冊表。因為傳統關閉系統還原的方法因為中毒而無法使用，所以需在安全模式下開註冊表修改相關機碼 http://tw.knowledge.yahoo.com/question/question?qid=1507032209979 # 2007-03-24 23:04:46 補充那只好改用登錄檔方式如下:(要確認不再使用,否則改不回去就..) =>開始\\執行\\輸入[regedit]\\進入[登錄編輯程式] 設定畫面 =>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ SystemRestore # 2007-03-24 23:05:15 補充 =>右邊字串DisableSR雙擊改數值資料由[0]變更為[1] =>右邊字串DiskPercent雙擊改數值資料由[12]變更為[0] =>右邊字串RPLifeInterval雙擊改數值資料由[76a700]變更為[0] =>如此[系統還原]就不可能再使用了 =>若爾後反悔將數值改回去(或者更改前先登錄檔用匯出備份) 我照著上面的步驟修改完之後再正常進入 windows，到系統還原相關頁面去看，會看到系統還原仍無法關閉，但是實際上系統還原已經沒有在運作。接著到 =>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\currentversion\ Run 跟 RunOnce 把 ctfmon 跟 mobsync 以外的都砍除暫時不執行 (不過若有防毒相關的可保留) =>HKEY_Current_User\SOFTWARE\Microsoft\Windows\currentversion\ run 跟 runonce 把 internet 以外的都砍除暫時不執行五、正常進 windows 後再執行一次一跟二，問題排除提供給大家參考，網路上找到的關閉系統還原相關的多半都只提到[我的電腦按右鍵]->[內容]->[系統還原]->[關閉系統還原]。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ※ 編輯: laechan 來自: 61.225.162.217 (04/21 10:29)