知道是木馬生的 但找不到媽媽在那裡
 

不知道是逛了那裡的網站
現在都會固定一段時間
跳出一個網頁 然後諾頓偵查出有木馬 就停止開啟了
不過這時問題就來了
跳完之後 他會把 IE 所有的 COOKIE 資料刪除
變成 每一個登錄過的網頁都要重新輸入帳號密碼
感覺上應該是木馬要資料吧 :flash:
現在只知道 他會在 C:\Program Files 底下
生出一個叫 win 的組態檔
組態檔裡的資料如下面
我把那 win 組態檔砍完後
網頁隔一段時間還是會跳出來
重復剛剛講的那段情形
一直循環
不知道有沒有人可以幫忙找出生這個組態檔的程式叫什麼
拜託一下了 :think:
謝謝

[windows]
軞粟敦杅講=8
url[1]=http://bj.ezhoo.com/Ez_yiz_contents/Ez_51753.html
url[2]=http://car.ezhoo.com/Tg_tgxx/Tg_48.html
url[3]=http://bj.ezhoo.com/Ez_yiz_contents/Ez_45014.html
url[4]=http://bj.ezhoo.com/Ez_yiz_contents/Ez_35787.html
url[5]=http://bj.ezhoo.com/Ez_zp.asp
url[6]=http://sjz.ezhoo.com/Ez_zp.asp
url[7]=http://car.ezhoo.com/Tg_tgxx/Tg_61.html
url[8]=http://www.boxnn.com/
[home]
home=http://bj.ezhoo.com
[xunhuan]
xunhuan=1
[time]
time=40
[exe]
軞exe華硊=0
url[1]=http://127.0.0.1/3.exe

關閉系統還原，完全清空 Temporary Internet files。
開啟登錄編輯程式(開始→執行 regedit)，尋找 3.exe 相關機碼及相關檔案，將之刪除。

3.exe不就是W32_Bacalid(巴克雷;記事本病毒)嗎!? :confused:

PS:
搞不好這又是個變種的病毒，之前的巴克雷(記事本病毒)會在任何Temp資料夾中先放入vcab.dll，當vcab.dll執行之後會自動下載3.exe，然後就一發不可收拾了。 :stupefy:

回兩位大大
目前是網頁不會跳出來
但是 卻變成直接跳出防毒軟體的警告訊息

而 A.C 大的方法我有試了
但是卻沒有用 :cry:
附上一張圖片給大家看看

這個還不算是太難，請直接清空"網路暫存檔"即可。 :laugh:

"控制台>網際網路選項>一般>刪除檔案>打勾>確定"即可。 :D

以上是[轉貼]至我的回應文:
http://forum.gamebase.com.tw/conten...02&sno=74287167

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows 下
是否存在 load" = "%Windir%\rundl132.exe"？如果有可以將之刪除。

唉 ~ 問題又回到原點了 :jolin:
那個 win.ini 的檔案
在每次重開機後 都會自動生出來
我打了 msconfig 實在是看不出那一個比較可疑
所以就附了圖片 給大家看看吧!
是那個 01 02 的檔名
因為現在不知道是啟動那邊的問題
還是另外一邊 ini 的問題
所以 bin 也再附一張圖

最後發覺
開完機後 直接把那個 win.ini 的檔案砍調
就不會再有網頁跳出來
但會變成直接跳出
之前附的附加檔 檔案總管那樣
現在真的是不知道要怎麼辦了

要重灌的話 可沒有地方備份啊~~~ :stupefy:

使用不同於諾頓的線上掃瞄，有助於判斷。
Kaspersky 線上掃瞄

另外想請問，有試著找過並移除這個 11%2Eexe[1] 檔案嗎？

那個每次產生毒的檔案名稱都不一樣
每次抓到後 諾頓好像都直接砍了
因為都找不到了

現在正在用剛傳的線上掃瞄
不過正在更新中
只好等囉 :think: