Re: 求救 中木馬了..應該怎麼辦 - 資安

By Ursula
at 2005-02-09T18:24
at 2005-02-09T18:24
Table of Contents
※ 引述《mingwangx (器材班,○九三)》之銘言:
: ※ 引述《[email protected] (永遠的初心者)》之銘言:
: : 請問一下......
: : 我中了一個叫 TROJ_LENEAGE.A 的病毒
: : 上趨勢網查是木馬病毒.用它教的方法也移不掉(全英文 orz)
: : pc-cillin只能找到...也無法移除或隔離
: : 請各位高手幫幫忙
: : 感謝
: 我也遇到一樣的問題。
: 在趨勢的網頁裡,移除這個木馬的方法裡有這個步驟(XP裡):
: Disabling the Malware DLL Process
: 1.進入安全模式
: 2.按「執行」
: 3.輸入C:\Windows\System32\regsvr32 /u 中毒的檔案途徑
: 但是,regsvr32沒有辦法順利執行。
: 所以移除過程卡住了。
lineage類型的, 先不要管掃到的DLL檔, 就我的經驗, 先看看以下幾點....
1.掃毒軟體有沒有掃到exe的檔案?
可能有explorer.exe或Rundll32.exe或internat.exe其中一種
有的話把檔案路徑抄下來, 沒有也沒關係....
2.到 HKLM\Software\Microsoft\WIndows\CurrentVersion\Run 或 RunService 下看
看看有沒有哪個路徑是指到上面三個檔案的登錄檔?
應該要有, 且1如果有掃到的話(也有可能會掃不到), 應該會和這登錄檔的檔名一樣
3.收集以上兩點後:
A. 備份/刪除第2點看到的登錄檔
B. 重開進安全模式
C. 比對 "正常且相同作業系統" 下的1所掃到的檔案大小, (或2在機碼所看到的檔案)
因為Windows也有正常的Rundll32.exe與internat.exe, 要看檔案位置在哪
D. 比對之後:
正常且相同作業系統: 沒有這個檔案 > 刪掉
有這個檔案 > 則copy過來, 在安全模式下置換
E. 順便找一找之前掃毒軟體所掃到的HTDLL.DLL或CT1DLL.DLL或CT2DLL.DLL等
有的話刪掉, 不過通常找不到才對....
以上 "收集資訊" > "砍機碼" > "進安全模式刪除或置換檔案" 後,
重開電腦應該就 OK 了
--
: ※ 引述《[email protected] (永遠的初心者)》之銘言:
: : 請問一下......
: : 我中了一個叫 TROJ_LENEAGE.A 的病毒
: : 上趨勢網查是木馬病毒.用它教的方法也移不掉(全英文 orz)
: : pc-cillin只能找到...也無法移除或隔離
: : 請各位高手幫幫忙
: : 感謝
: 我也遇到一樣的問題。
: 在趨勢的網頁裡,移除這個木馬的方法裡有這個步驟(XP裡):
: Disabling the Malware DLL Process
: 1.進入安全模式
: 2.按「執行」
: 3.輸入C:\Windows\System32\regsvr32 /u 中毒的檔案途徑
: 但是,regsvr32沒有辦法順利執行。
: 所以移除過程卡住了。
lineage類型的, 先不要管掃到的DLL檔, 就我的經驗, 先看看以下幾點....
1.掃毒軟體有沒有掃到exe的檔案?
可能有explorer.exe或Rundll32.exe或internat.exe其中一種
有的話把檔案路徑抄下來, 沒有也沒關係....
2.到 HKLM\Software\Microsoft\WIndows\CurrentVersion\Run 或 RunService 下看
看看有沒有哪個路徑是指到上面三個檔案的登錄檔?
應該要有, 且1如果有掃到的話(也有可能會掃不到), 應該會和這登錄檔的檔名一樣
3.收集以上兩點後:
A. 備份/刪除第2點看到的登錄檔
B. 重開進安全模式
C. 比對 "正常且相同作業系統" 下的1所掃到的檔案大小, (或2在機碼所看到的檔案)
因為Windows也有正常的Rundll32.exe與internat.exe, 要看檔案位置在哪
D. 比對之後:
正常且相同作業系統: 沒有這個檔案 > 刪掉
有這個檔案 > 則copy過來, 在安全模式下置換
E. 順便找一找之前掃毒軟體所掃到的HTDLL.DLL或CT1DLL.DLL或CT2DLL.DLL等
有的話刪掉, 不過通常找不到才對....
以上 "收集資訊" > "砍機碼" > "進安全模式刪除或置換檔案" 後,
重開電腦應該就 OK 了
--
Tags:
資安
All Comments
Related Posts
Microsoft update ---> Software Removal

By Caitlin
at 2005-02-09T11:43
at 2005-02-09T11:43
Re: 求救 中木馬了..應該怎麼辦

By Sarah
at 2005-02-05T02:18
at 2005-02-05T02:18
Re: 大量 port 25 攻擊

By Dorothy
at 2005-02-02T23:26
at 2005-02-02T23:26
Re: 請問一下 ghost9.0

By Audriana
at 2005-02-02T15:59
at 2005-02-02T15:59
Re: 請問一下 ghost9.0

By Adele
at 2005-02-01T17:11
at 2005-02-01T17:11