※ 引述《arichage (台灣區南內推廣會長)》之銘言： : 1. 敘述問題： : 在安裝某個exe檔之後中毒，導致工作管理員無法開啟， : 現在也無法安裝任何軟體（情況:軟體點開後約10秒會自動消失） : 執行regedit也會跳出"系統管理員已停用登錄編集"字樣 : 2. 系統資料： : XP SP2 : 防毒軟體是小紅傘 : 3. 分析報告： : Combofix報告：https://www.dropbox.com/s/j1skbesdzsx9f27/combofix.txt : Hijackthis ：https://www.dropbox.com/s/tyqaqplyjahjkwe/hijackthis.log : SRENG ：https://www.dropbox.com/s/zmy9kz0iubkmn6y/SREngLOG.log : 防毒軟體報告：無（中毒後就無法掃描...） : 先謝謝大家>"< 有幾個奇怪的檔案 2014-01-02 00:55 98,816 --a------ C:\WINDOWS\sed.exe 2014-01-02 00:55 80,412 --a------ C:\WINDOWS\grep.exe 2014-01-02 00:55 68,096 --a------ C:\WINDOWS\zip.exe 2014-01-02 00:55 518,144 --a------ C:\WINDOWS\SWREG.exe 2014-01-02 00:55 406,528 --a------ C:\WINDOWS\SWSC.exe 2014-01-02 00:55 256,000 --a------ C:\WINDOWS\PEV.exe 2014-01-02 00:55 212,480 --a------ C:\WINDOWS\SWXCACLS.exe 2014-01-02 00:55 208,896 --a------ C:\WINDOWS\MBR.exe 這些不是XP會有的東西，還有個MBR.exe，該不會是連硬碟的MBR都被塞東西了？ 看起來你是用自己的帳號進去這個系統，但是administrator的資料夾在1/2被動過 除非你有用安全模式或是其他方式以這個帳號登入，不然很可能被人塞了東西 至於程式無法執行，我推測是檔案名稱被鎖住，像gpedit.msc中（專業版才有）， 這邊有個設定可以禁止特定檔明的檔案執行，簡單的說，如果是用這種方法鎖住的， 將regedit.exe複製出來改名為regedit2.exe就能執行 -- 給忙碌的人用的Vocaloid週記.... 先行版（順利的話週二晚上） http://hirokofan.pixnet.net/blog/category/1820969 完整版（順利的話週六中午） http://hirokofan.pixnet.net/blog/category/1820741 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.39.44.27