|
||
|
Major Member
 加入日期: Apr 2005
文章: 293
|
中了個病毒xp.exe
C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\DFPYPQ7Y\xp1[1].exe\[UPX]
avast! 有掃到無法對他處理 說是檔案程序使用中 要開主控台進行掃描才行 昨天上網中標 在頻果日報那邊中的 昨天掃很久 今天一開又有了 一樣無法處理 從檔案位置去掃才解決不知還會不會再來 |
|||||||
2009-04-13, 07:21 AM
#1
|
|
|
Major Member
加入日期: Mar 2005
文章: 246
|
試試到趨勢下載掃描引擎及病毒碼免費的.
解壓縮到同一個資料夾.先試開如不行應該有檔案為下齊.. 然後到安全模式底下掃毒記得勾選刪除選項.  |
||
|
2009-04-13, 08:50 AM
#2
|
|
|
*停權中*
加入日期: Jan 2003
文章: 494
|
可以設定為 開機時掃描.
應該就可以刪掉了. 但是,如果會變形的話就難說了 |
|
2009-04-14, 03:11 PM
#4
|
|
|
Master Member
  加入日期: Feb 2007
文章: 1,628
|
引用:
假如只是在暫存檔的話 問題還不是太大 可以檢查SYSTEM32下有沒有多出一些奇怪的檔案 若使用者帳戶已遭改寫 會建議重新安裝 之前碰到時 曾試著將使用者帳戶砍掉 也是使用中而無法進行刪除的動作 |
|
|
2009-04-16, 04:03 AM
#5
|
|
|
Major Member
加入日期: Apr 2005
文章: 293
|
砍掉重練
 目前麻煩是不知之前先移走的檔案有無感染 線上掃毒效用不大 用nod32跟一個掃木馬的掃過 |
|
2009-04-16, 06:28 AM
#6
|
|
|
Major Member
加入日期: Jan 2009
文章: 108
|
U盤感染下載者Xp.exe BoBoTurbo.exe logogogo.exe查殺綜述2007-11-25 23:17作者:清新陽光 ( http://hi.baidu.com/newcenturysun)
日期:2007/11/25 (轉載請保留此聲明) 這是最近很流行的木馬下載者病毒,它是之前的logogo病毒的變種,不過最近的新變種非常肆虐。該病毒主要具有如下破壞作用 1.通過U盤等移動存儲傳播 2.創建IFEO項目劫持殺毒軟體 3.感染exe檔案(被感染檔案尾部被加入一個名為.ani的節。被感染檔案運行後會釋放一個名為ani.ani的臨時檔案並運行) 4.下載木馬 5.向指定網址發送被感染者的及其名稱,操作系統,MAC地址等信息 關於該病毒的具體分析請參考 http://hi.baidu.com/newcenturysun/b...2742a75b36.html (BoBoTurbo.exe即為logogogo.exe的最新變種,只是檔案名改變,其他未變) 下面通過舉例完整的闡述一遍這個病毒的解決辦法: 以下是一個被感染這個病毒後的sreng日誌 啟動項目 註冊表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <logogogo><%systemroot%\system\logogogo.exe> 或者是<logogogo><%systemroot%\system\BoBoTurbo.exe> [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <GenProtect><C:\WINDOWS\GenProtect.exE> [] <inudhya><C:\WINDOWS\system\soundma.exe> [] <logogogo><C:\WINDOWS\system\BoBoTurbo.exe> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><kvdxsjma.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{9D57B341-43DF-4563-753F-345FFA3157D9}><C:\WINDOWS\system32\kvmxjma.dll> [] <{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> [] <{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> [] <{A7D81718-1314-5200-2597-58790101807A}><C:\WINDOWS\system32\kaqhjzy.dll> [] <{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> [] <{C34345F1-DACF-3452-CB7D-4620F34A153C}><C:\WINDOWS\system32\rsztlpm.dll> [] <{54783410-4F90-34A0-7820-3230ACD05F45}><C:\WINDOWS\system32\raqjepi.dll> [] <{9859245F-345D-BC13-AC4F-145D47DA34F9}><C:\WINDOWS\system32\avzximn.dll> [] <{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> [] <{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> [] <{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> [] <{65983698-1025-2685-5984-595778514656}><C:\WINDOWS\system32\wsjrfzx.dll> [] <{5960356A-458E-DE24-BD50-268F589A56A5}><C:\WINDOWS\system32\avwlemn.dll> [] <{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> [] <{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> [] <{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> [] <{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> [] IFEO項 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe] <IFEO[360rpt.exe]><%systemroot%\system\logogogo.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] <IFEO[360Safe.exe]><%systemroot%\system\logogogo.exe> [] 或者指向%systemroot%\system\BoBoTurbo.exe ================================== Autorun.inf [C:\] [AutoRun] OPEN=XP.EXE shellexecute=XP.EXE shell\打開(&O)\command=XP.EXE [D:\] [AutoRun] OPEN=XP.EXE shellexecute=XP.EXE shell\打開(&O)\command=XP.EXE... 解決辦法: 下載sreng:http://download.kztechs.com/files/sreng2.zip Xdelbox:http://www.dodudou.com/down/裡面的原創軟體檔案夾下 首先重啟電腦進入安全模式下(開機後不斷 按F8鍵 然後出來一個高級選單 選擇第一項 安全模式 進入系統) 分別解壓Xdelbox和sreng (注意:如果winrar也被感染,請重裝winrar後再解壓檔案,推薦重裝winrar) 1.打開sreng 啟動項目 註冊表 刪除如下項目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <logogogo><%systemroot%\system\logogogo.exe> [] 或者是<logogogo><%systemroot%\system\BoBoTurbo.exe> 並刪除所有紅色的IFEO項目 2.解壓Xdelbox所有檔案到一個檔案夾 在 添加旁邊的框中 分別輸入(實際情況不一定與此相同,因為木馬隨時會變化) C:\WINDOWS\system32\kvmxjma.dll C:\WINDOWS\system32\kvdxsjma.dll C:\WINDOWS\system32\rarjepi.dll C:\WINDOWS\system32\kaqhjzy.dll C:\WINDOWS\system32\kvdxjma.dll C:\WINDOWS\system32\rsztlpm.dll C:\WINDOWS\system32\raqjepi.dll C:\WINDOWS\system32\avzximn.dll C:\WINDOWS\system32\ratblpi.dll C:\WINDOWS\system32\kawdfzy.dll C:\WINDOWS\system32\kapjezy.dll C:\WINDOWS\system32\wsjrfzx.dll C:\WINDOWS\system32\avwlemn.dll C:\WINDOWS\system32\ratbkpi.dll C:\WINDOWS\system32\swjqbzc.dll C:\WINDOWS\system32\swrcezc.dll C:\WINDOWS\system32\wszjbzx.dll C:\WINDOWS\system\soundma.exe C:\WINDOWS\GenProtect.exE %systemroot%\system\logogogo.exe或者%systemroot%\system\BoBoTurbo.exe (對照sreng日誌的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks的相關項目可得) 輸入完一個以後 點擊旁邊的添加 按鈕 被添加的檔案 將出現在下面的大框中 然後一次性選中 (按住ctrl)下面大框中所有的檔案 右鍵 單擊 點擊 重啟立即刪除 重啟電腦以後 會有兩個系統進入的選擇的倒計時界面 第一個是你原來的windows系統 第二個是我的軟體給你設定的dos系統 進入第二個系統 類似dos的界面滾動完畢以後 病毒就被刪除了 之後他會自動重啟進入正常模式 3.重啟電腦後 雙擊我的電腦,工具,檔案夾選項,查看,單擊選取"顯示隱藏檔案或檔案夾" 並清除"隱藏受保護的操作系統檔案(推薦)"前面的鉤。在提示確定更改時,單擊「是」 然後確定 點擊 選單欄下方的 檔案夾按鈕(搜索右邊的按鈕) 在左邊的資源管理器中單擊打開每個盤 刪除各個盤根目錄下的XP.exe和autorun.inf 4.打開sreng 啟動項目 註冊表 雙擊AppInit_DLLs把其鍵值清空 5.使用殺毒軟體全盤殺毒以修復被感染的exe檔案(如果殺毒軟體也被感染,請重裝殺毒軟體以免造成反覆感染 |
|
2009-04-19, 03:11 PM
#7
|
|
