<![CDATA[MIS的背影]]> http://blog.pmail.idv.tw/ zh-tw F2blog .cont 1.1 Build 090810 MIS的背影 http://blog.pmail.idv.tw/attachments/4223658972.jpg http://blog.pmail.idv.tw/ MIS的背影 http://blog.pmail.idv.tw/index.php?load=read&id=525 <![CDATA[卡巴斯基防毒無法啟動]]> Tue, 03 Nov 2009 15:54:59 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=525 移除重新安裝也一樣
我嘗試安裝小紅傘也是一樣無法啟動
判斷是因為中毒造成,所以就先手動將小紅傘病毒碼更新
掃毒確定無毒後
再來就是修改機碼
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
(如圖)
http://blog.pmail.idv.tw/attachments/200911/4592584673.jpg

圖中看到很多xxx.EXE (大寫)應該有些被病毒修改過所以執行該該檔案
都無法作用,這次的現象連我的regedit.exe 我也無法執行
將他刪除後就正常]]> http://blog.pmail.idv.tw/index.php?load=read&id=372 <![CDATA[開網頁不時會出現21cnyl.com 的網址(W32.Pagipef.B 病毒)]]> Mon, 26 May 2008 16:30:44 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=372 http://blog.pmail.idv.tw/attachments/200805/4278313133.jpg

賽門鐵克 會偵測到病毒(W32.Pagipef.B)
中毒檔案 C:WINDOWSsystem32driverslsass.exe
小紅傘抓到的病毒名稱則是TR/Agent.abj.148
http://blog.pmail.idv.tw/attachments/200805/0155013357.jpg

在msconfig 會看到 "~" 這個程式開機啟動
http://blog.pmail.idv.tw/attachments/200805/6955087773.jpg
解決方法:
因為懶的手動所以安裝小紅傘更新最新病毒碼後,完整掃瞄從新開機就可以解決]]> http://blog.pmail.idv.tw/index.php?load=read&id=361 <![CDATA[IE首頁被綁架(導向網址http://www.asecureforum.com]]> Wed, 09 Apr 2008 17:26:39 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=361 然後企圖下載惡意程式,更改首頁設定也失效
http://blog.pmail.idv.tw/attachments/200804/9405626090.jpg

解決方法:
1.到安全模式下
2.刪除C:Program FilesNetProject
3.刪除機碼HKEY_CLASSES_ROOTCLSID{7C109800-A5D5-438F-9640-18D17E168B88}]]> http://blog.pmail.idv.tw/index.php?load=read&id=335 <![CDATA[WORM_CRYPT.AB病毒(KASPERSKY.EXE)]]> Wed, 09 Jan 2008 10:31:37 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=335 officescan 抓到 WORM_CRYPT.AB
中毒檔案 C:\KASPERSKY.EXE

http://blog.pmail.idv.tw/attachments/200801/2591503668.jpg

解決方法:
1.關閉系統還原,到安全模式
2.刪除
C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SgotoDel.bat
C:\WINDOWS\system32\_Kaspersky.exe
X:\AutoRun.inf
X:\Kaspersky.exe
(其中X為全部磁碟)]]> http://blog.pmail.idv.tw/index.php?load=read&id=333 <![CDATA[ChristmasImg2007-12.zip 病毒(WORM_IRCBOT.ARB)]]> Thu, 27 Dec 2007 10:59:46 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=333 亂傳檔案給聯絡人.....所以只好下令先關閉所有MSN  \"\\"\\\\"\\\\\\\\\\\\\\\\\\\\\\\\"\\\\\\\\\\\\\\\\\\\\\\\\"\\\\"\\"\"
 


症狀:

1.會亂傳ChristmasImg2007-12.zip 給msn聯絡人

2.中毒後msn很難關閉

3. officescan 病毒碼 4.911.00抓不到

解法:

1.到安全模式,並關閉系統還原

2.刪除下列檔案

C:\WINDOWS\msmsgrs.exe(有就刪除)

C:\WINDOWS\ChristmasImg2007-12.zip

C:\Program Files\Windows Live\Messenger\msnmsgr.exe (有就刪除)

C:\WINDOWS\system32\svho.exe

C:\0000a.exe  (有就刪除)

C:\0h000.exe (有就刪除)

C:\0h00.exe (有就刪除)
http://blog.pmail.idv.tw/attachments/200712/6342605700.jpg

\"\\"\\\\"\\\\\\\\\\\\\\\\\\\\\\\\"open_img(\\\\\'http://blog.pmail.idv.tw/attachments/200712/6342605700.jpg\\\\\')\\\\\\\\\\\\\\\\\\\\\\\\"\\\\"\\"\"

3.刪除下列 登錄檔值

登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
登錄檔名稱:MsnLiveMe

]]> http://blog.pmail.idv.tw/index.php?load=read&id=332 <![CDATA[TROJ_AGENT.AHAU病毒]]> Sun, 16 Dec 2007 10:48:54 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=332 http://blog.pmail.idv.tw/attachments/200712/0464143320.jpg
中毒檔案 c:\windows\system32\winupdate.exe
解決方法
1.安全模式刪除 c:\windows\system32\winupdate.exe
2.刪除登錄檔
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\

http://blog.pmail.idv.tw/attachments/200712/5882234115.jpg
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon中的shell字串值
http://blog.pmail.idv.tw/attachments/200712/2518693330.jpg

3.更新病毒到最新完整掃毒一次
]]> http://blog.pmail.idv.tw/index.php?load=read&id=328 <![CDATA[TROJ_STRAT.JD & Possible_Strat-6 病毒]]> Thu, 06 Dec 2007 10:54:01 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=328 TROJ_STRAT.JD   &  Possible_Strat-6 病毒
http://blog.pmail.idv.tw/attachments/200712/9834248603.jpg

這兩個病毒比較麻煩

遇到的症狀 : 執行每個程式會出現錯誤訊息(下圖)
http://blog.pmail.idv.tw/attachments/200712/5085196168.jpg

解決方法:

到安全模式下刪除(若無法刪除可利用Unlocker程式)
C:\windows\system32\p2podbc.dll
C:\windows\system32\webpvbam.dll
C:\WINDOWS\system32\efjtx0jc.dll
C:\WINDOWS\system32\kbdgmqqm.dll
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\gdi3ciod.dll
C:\WINDOWS\system32\sqlurasp.dll
C:\Documents and Settings\user\Local Settings\Temp\*
C:\WINDOWS\metr.exe
C:\windows\system32\sqlurasp.exe
C:\WINDOWS\system32\efjtx0jc.dll
C:\WINDOWS\

]]> http://blog.pmail.idv.tw/index.php?load=read&id=312 <![CDATA[TSPY_ONLINE.EOD 病毒(有類似疾風病毒的60秒從開機訊息)]]> Tue, 06 Nov 2007 11:14:37 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=312 TSPY_ONLINE.EOD 病毒
http://blog.pmail.idv.tw/attachments/200711/2112097617.jpg

中毒檔案 C:\WINDOWS\Debug\62D4F8F5DDAC.dll

出現症狀:

無法開啟檔案總管的搜尋功能,無法看事件檢視器的內容,網路完全斷掉,無法設定 TCP/IP

會出現RPC 伺服器錯誤,倒數60秒後重新開機


http://blog.pmail.idv.tw/attachments/200711/7053792620.jpg

重新開機後,系統啟動速度極慢,停留在"Windows正在啟動中"10分鐘以上,會出現svchost.exe 錯誤
http://blog.pmail.idv.tw/attachments/200711/7737025344.jpg

http://blog.pmail.idv.tw/attachments/200711/2512670915.jpg

解決方法:
1.先在沒有中毒的PC上面寫依各簡單的批次檔內容"shutdown -a " 放到MIS必備隨身碟中,這是因為要暫時解決60秒關機訊息

2.再中毒的PC上面,到安全模式下面(會等一段時間),進入後就先把隨身碟插入吧
如果有出現60秒關機,就趕緊執行一下小批次檔 讓此訊息關閉

刪除

C:\WINDOWS\Debug\62D4F8F5DDAC.exe
C:\WINDOWS\Debug\62D4F8F5DDAC.dll
C:\WINDOWS\AVP.EXE , C:\WINDOWS\system32\od3mdi.dll(這2個是基本的病毒檔會造成WINSCOK問題)
 

]]> http://blog.pmail.idv.tw/index.php?load=read&id=306 <![CDATA[不小心執行奇摩信箱的寄來信的附件(2ACE4CFBAF2C.dll盜帳號木馬)]]> Thu, 25 Oct 2007 14:35:24 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=306 http://blog.pmail.idv.tw/attachments/200710/4350100842.jpg

訊息會一直跳出來,所以要到安全模式下解毒
關閉系統還原
中毒檔案 c:\2ACE4CFBAF2C.dll
解決方法
1.刪除下面2個檔案
c:\2ACE4CFBAF2C.dll
c:\2ACE4CFBAF2C.exe (這是依各隱藏檔所以要先開隱藏檔才看的到喔)
c:\windows\system32\kavo.exe
c:\windows\system32\ubs.exe

c:\windows\system32\kavo0.dll


2.刪除登陸檔HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {79fc744e-75ca-49b0-8f02-aeae4caacbe0}

http://blog.pmail.idv.tw/attachments/200710/3798467423.jpg

3.清除所有tmp檔,可以到blog首頁分享區抓清tmp工具(一定要做喔)]]> http://blog.pmail.idv.tw/index.php?load=read&id=299 <![CDATA[VAnti!rootkit病毒]]> Thu, 18 Oct 2007 11:15:22 +0800 http://blog.pmail.idv.tw/index.php?load=read&id=299 http://blog.pmail.idv.tw/attachments/200710/9591579028.jpg
怎麼找也找不到要刪除的檔案!
解決方法:
利用Sophos Anti-Rootkit 工具找到xxx.mp2.ifx2的檔案
http://blog.pmail.idv.tw/attachments/200710/2908560016.jpg

且讓這個程式刪除他後,重新開機在用Mcfee掃就沒有VAnti!rootkit病毒訊息出現了]]>