[轉錄]Re: [求救] 中了MSN的毒= =

作者et1783 ()

看板CMU_M52

標題[轉錄]Re: [求救] 中了MSN的毒= =

時間Thu Aug 27 12:24:35 2009

※ [本文轉錄自 AntiVirus 看板] 作者: junorn (威廉華勒斯) 看板: AntiVirus 標題: Re: [求救] 中了MSN的毒= = 時間: Fri Aug 14 16:10:25 2009 複製底下**符號行到**符號行之間所有文字不包含*號 ******************************************* move file:: c:\windows\client.exe C:\Windows\msupdate32.exe C:\WINDOWS\livemessenger.com c:\windows\system32\msword98.exe C:\WINDOWS\mslsrv32.exe C:\WINDOWS\msnmsg.exe mod reg:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Client"=- "Windows Update Service"=- "Microsoft Update"=- "msword98"=- "Regedit32"=- "Microsoft Driver Setup"=- [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Windows Client"=- "Windows Update Service"=- "Microsoft Update"=- "msword98"=- "Microsoft Driver Setup"=- reboot:: ******************************************** 複製之後下載EFix http://reinfors.blogspot.com/ 下載到桌面之後執行等執行到出現一個視窗標題叫script gui的時候在那個視窗中間空白可以輸入文字的地方按右鍵選貼上確認你貼上的內容和你複製的內容一樣之後按下方的scan按鈕等他跑完跑完之後就連msn看看還會不會亂傳網址還是會的話將掃描報告傳到置底空間連結後貼上來不會就不用了. 並使用新版和更新病毒碼至完整狀態的防毒軟體作全機掃瞄. -- 長路如淡夢無盡空嘆息月光照亮我心房野花輕搖指前路過失之痛滿胸中抬手長自撫願能將其拂欲言又止萬千語化作葉兒染愛色 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.68.130.155

推 StaurusW:http://0rz.tw/nClV9 用好了~ 08/14 16:22

→ junorn:恩好了這樣就可以了 08/14 16:43

推 StaurusW:真的嗎!? 那我還需要再改密碼嗎? 08/14 16:49

→ StaurusW:請問 "C:\ef_backup\Backup\c\WINDOWS\client.exe.vir" 08/14 16:52

→ StaurusW:這個檔要刪除嗎? 剛剛用PANDA掃描換成這個有問題 08/14 16:53

→ StaurusW:用AVG也說感染檔案這是圖http://yfrog.com/11clipboar 08/14 17:02

→ StaurusW:重貼圖http://yfrog.com/11clipboarddp 08/14 17:03

→ junorn:那個就是EFix幫你刪除的c:\windows\client.exe，刪掉就好 08/14 17:06

→ junorn:密碼能改就改. 08/14 17:07

推 StaurusW:嗯嗯感謝你的幫忙 08/14 18:24

推 smilemyself:大推大推喔喔喔喔喔喔超厲害的謝謝你 08/14 23:34

→ johnlu:http://ifile.it/bzd1i8l 這是檔案有哪幾套可以刪除 08/15 00:30

→ johnlu:我用NOD32 avadare 都說很健康 08/15 00:30

→ johnlu:網友用德國小紅傘+木馬大師2009都沒事 08/15 00:31

推 smilemyself:我又中毒了可以去看依下18088的文章嗎?? 08/15 00:55

推 h000ya:你好我今天也不小心中這個毒了...QQ 用這個方法之後登入 08/15 01:20

→ h000ya:還是有一樣的問題耶.... 請問能教教我怎麼辦嗎？ 08/15 01:20

→ h000ya:我完全看不懂那些程式英文所以也沒辦法用上一篇的方法解 08/15 01:21

推 KarasuTW:>johnlu 請用 VirusTotal, Jotti's malware scan 等服務 08/15 03:31

→ johnlu:K大所以這是最新MSN病毒服務 08/15 03:38

→ johnlu:如果把那兩個Client拿掉的話是否就解決 08/15 03:38

→ johnlu:h大你因為啟動有執行到client記得不要執行或者先刪除 08/15 03:41

→ johnlu:顯示 BackDoor.IRC.Sdbot.5130 08/15 03:43

推 KarasuTW:VirusTotal 和 Jotti's 是線上單檔掃描程式，可測試多個 08/15 03:56

→ KarasuTW:防毒軟體… SDBot 是蠻有歷史的後門程式了，這次用的方法 08/15 03:56

→ KarasuTW:很低調不易事前偵測... 過幾天應該大家都能防了 08/15 03:57

推 faris1003:J大推一個，我果然還是不擅長解釋...=.= 08/15 09:00

→ johnlu:因為檔案屬性很怪+檔案再重開機會顯示是否執行 08/15 09:03

→ johnlu:我使用PCtools防火+NOD32試用.問我是否執行.我按取消後 08/15 09:05

→ johnlu:又再一次.在跑去Msconfig發現啟動怪怪的.去找檔案位置 08/15 09:05

→ johnlu:才發現檔案屬性.會大意中招.因為跟對方當時還在聊天MSN 08/15 09:06

→ johnlu:一點也沒有那種無名者一丟就跑的狀況 08/15 09:06

→ johnlu:所以很難防備.+上點開後整個電腦變的超慢LAG 08/15 09:06

→ johnlu:才注意到他在啟動IUI裡面自我安裝兩次都在\windows\ 08/15 09:07

→ johnlu:沒事把啟動IUI清理得太乾淨果然被看出來 08/15 09:07

推 h000ya:我開網頁之後很白痴的按了執行....我現在應該怎麼做＠＠ 08/15 12:39

推 h000ya:用小紅傘掃毒能解決嗎我的電腦裡裝的是這個 08/15 12:53

→ johnlu:h大你也中獎看得懂我的圖嗎.知識+說紅傘找不到 08/15 14:28

→ johnlu:我在第一封有貼40的線上只有5個找到後門木馬 08/15 14:29

推 h000ya:對不起...我看不懂....那我可以用你這篇貼的方法嗎？ 08/15 17:20

推 KarasuTW:這一篇或 #1AXbNp3D 的試試看，SDBot 持續變種中... 08/15 17:57

※ 編輯: junorn 來自: 61.216.80.103 (08/15 22:03) ※ 編輯: junorn 來自: 61.216.80.103 (08/15 22:06)

推 h000ya:如果掃完的LOG檔顯示沒有刪除任何檔案就表示失敗是嗎？ 08/15 22:27

※ 編輯: junorn 來自: 61.216.80.103 (08/15 22:42)

推 paying02:請問一下我用了你的方法他說沒有刪除任和檔案這樣 08/16 01:08

→ paying02:是好了嗎謝謝 08/16 01:09

→ KarasuTW:如果是剛按到就跑過來的人，這個毒要重開機才會安裝... 08/16 01:18

→ KarasuTW:所以重開機後套用這個腳本才會有效 08/16 01:18

推 ajpomelo:這招很有用!!!感恩我解掉了XD 08/16 02:02

推 abatw:推幫兩個同學解決了:D 08/16 10:12

推 cd00739283:感謝感謝~終於清掉了~差點就要重灌了XD 08/16 10:50

推 GinHan:可以順便幫我看一下嗎 http://tinyurl.com/nx5v8x 08/16 14:20

→ GinHan:沒有刪除client 不過上線好像沒有亂傳東西 08/16 14:21

→ GinHan:只刪掉一個怕怕的謝謝 08/16 14:23

→ KarasuTW:>GinHan 沒有問題 08/16 14:37

推 GinHan:感謝~~ 08/16 14:39

推 holyjune28:麻煩可以幫我看一下嗎http://tinyurl.com/omtgx8 感謝! 08/16 16:04

推 Waterpig:麻煩J大了 http://ppt.cc/~8aj 謝謝 08/16 16:27

※ 編輯: junorn 來自: 61.216.80.103 (08/16 20:08)

推 dooooor:http://go2.tw/25j5 安吶甘丟這樣對嗎? 謝謝分享.. 08/16 20:17

推 KarasuTW:樓上三個都 OK... 08/16 21:12

推 icejoseph:請問置底的空間是指? 08/16 21:25

→ littlblac:跟樓上的疑問一樣.... 08/16 21:27

推 cybuler:http://ppt.cc/PcLI 這樣嗎~ 謝謝m(_ _)m 08/16 21:56

推 killualee:麻煩了 http://ppt.cc/0WKa 謝謝 08/16 22:19

推 KarasuTW:>cybuler 請把 C:\Windows 改成 E:\Windows 再來一次 08/16 22:24

推 KarasuTW:>killualee OK... 08/16 22:26

推 killualee:謝謝!! 08/16 22:29

推 cybuler:http://ppt.cc/3vHT 重新一次了麻煩一下謝謝m(_ _)m 08/16 22:48

推 jimmy512041:把LOG傳到至底空間什麼意思? 08/16 22:48

推 AQmike:請問一下如果我只有點連結沒按下載這樣會中嗎?? 08/16 22:49

→ AQmike:我問我朋友它們都說我沒有傳給他們連結這樣就是沒中嗎? 08/16 22:51

推 amber0806:感謝～ 08/16 22:54

推 gjo3g0:http://ifile.it/1u8tbj3 拜託了~ J大超感謝你~~! 08/16 23:01

推 zhenn:把LOG傳到至底空間什麼意思? 08/16 23:10

推 MAHORA:http://sun.cis.scu.edu.tw/~92a39/upload.php 08/16 23:10

→ MAHORA:上面這個是置底上傳空間 08/16 23:11

→ MAHORA:把最底下的[公告] 求救文，發文前須知！【必看！】看一下 08/16 23:12

推 zhenn:上傳完成就代表ok了嗎? 08/16 23:13

推 ALLPASS2003:請幫我看一下有沒有成功.謝謝.http://ppt.cc/z8b6 08/16 23:14

推 gjo3g0:重新上傳麻煩你了~~謝謝http://tinyurl.com/qvbkfs 08/16 23:16

推 bill055282:http://ppt.cc/au(n 麻煩幫我看一下非常感謝 08/16 23:24

→ bill055282:http://0rz.tw/X4j4z 重新上傳跟上面的一樣謝謝 08/16 23:28

推 mo77:http://ppt.cc/aq0A 不好意思，也請麻煩幫我一下，謝謝!!!! 08/16 23:29

推 zhenn:麻煩請幫我看一下，是否完成。謝謝 http://0rz.tw/obRIU 08/16 23:33

推 cybuler:代po http://ppt.cc/c9Nx 麻煩了謝謝 08/16 23:33

推 wakai:http://sun.cis.scu.edu.tw/~92a39/upload/35849.txt 08/17 00:25

→ wakai:幫忙一下拜託 08/17 00:25

推 nessele:http://sun.cis.scu.edu.tw/~92a39/upload/35858.txt 08/17 02:06

→ nessele:不好意思也拜託幫我看一下Q Q 被這個病毒弄得好煩=兒= 08/17 02:06

推 Aaronko:太感謝了~成功 08/17 02:14

推 lalilata: http://ppt.cc/oIji 麻煩幫看..萬分感謝!!!謝謝謝謝 08/17 02:25

推 kevinlcsf:重開機過後用腳本沒有刪除任何檔案也沒有傳網址給別人 08/17 02:48

→ kevinlcsf:這樣是ok的嗎.. 08/17 02:48

推 clandowater:http://ppt.cc/8A1J 拜託幫我看一下 08/17 04:15

推 KarasuTW:又變種啦 J 大 OTL... 08/17 06:13

推 KarasuTW:>cybuler 你可能有中別的病毒，請照求救文範例另外發文 08/17 06:25

推 KarasuTW:> ALLPASS2003 再掃一次 08/17 06:32

→ KarasuTW:>gjo3g0, bill055282, mo77, zhenn, cybuler代, wakai OK 08/17 06:37

推 KarasuTW:>nessele, clandowater OK >lalilata：你中了其他病毒 08/17 06:40

→ KarasuTW:>j大: 看來不是變種而是重複感染 -A-" 08/17 06:42

→ KarasuTW:今天已經星期一了！大家有疑問的請先更新病毒碼掃描系統 08/17 06:43

推 emon945:http://ppt.cc/G255 也麻煩幫我看一下，感謝T^T 08/17 08:57

→ junorn:K大不簡單喔一個一個看冏... 我比較在意那個msword98.exe 08/17 09:02

推 KarasuTW:下面有一個感染到很深層的 msword98 囧rz... 08/17 10:18

推 KarasuTW:>emon945 ok >junorn 我只有看有沒有清掉 SDbot 人太多 08/17 10:21

→ junorn:連我公司上游廠商都一堆人中...不愧是科技公司XD 08/17 10:26

→ junorn:回題，那個msword98.exe如果行的話看有沒有辦法弄到樣本 08/17 10:27

→ junorn:雖說確定是病毒不過想看看和這sdbot有沒有關聯. 08/17 10:27

推 nessele:K大多謝 08/17 10:31

推 killer0812:http://sun.cis.scu.edu.tw/~92a39/upload/35870.txt 08/17 10:42

→ killer0812:請幫忙看看感激不盡 08/17 10:42

推 KarasuTW:>killer0812 ok 08/17 10:51

推 killer0812:謝謝！！以後不亂點了ORZ 08/17 10:52

推 beautyghost:http://sun.cis.scu.edu.tw/~92a39/upload/35876.txt 08/17 12:02

→ beautyghost:懇請幫忙確認，非常感謝 08/17 12:02

推 emon945:非常感謝QQ　我以後會管好自己的手的T^T 08/17 12:30

推 UTRAW:http://tinyurl.com/qlxzhh 請幫忙看一下感謝 08/17 13:34

推 mow123012:http://ppt.cc/Z2UI 可以幫我看一下嘛拜託你了謝謝 08/17 13:35

推 jimmy512041:謝謝J大我的MSN也解決了 08/17 13:46

推 choumingkai:http://sun.cis.scu.edu.tw/~92a39/upload/35878.txt 08/17 13:49

→ choumingkai:不會縮往只在上面幫我看一下謝謝 08/17 13:49

→ junorn:越來越多msword98.exe了...看來是脫不了關係 08/17 13:53

推 wincecarter:可以請k大幫我看一下，感激不盡 08/17 14:01

→ wincecarter:http://sun.cis.scu.edu.tw/~92a39/upload/35879.txt 08/17 14:01

推 vnsioh:http://sun.cis.scu.edu.tw/~92a39/upload/35880.txt 08/17 14:06

→ vnsioh:請問這樣有掃掉嗎? 08/17 14:06

→ vnsioh:用小紅傘+AD-WARE都沒掃到.. 08/17 14:07

※ 編輯: junorn 來自: 210.68.130.155 (08/17 14:15)

推 mow123012:謝謝j大幫忙我的msn已經解決了感謝 08/17 14:23

推 KillerDoll:今天同事MSN傳訊息來,我沒注意也點下去,中毒了 = = 08/17 14:45

→ KillerDoll:請問可以幫忙看一下嗎 http://tinyurl.com/l8tlyj 08/17 14:47

推 whatisuknow:你好，可以也幫我看一下嗎謝謝 08/17 14:49

→ whatisuknow:http://sun.cis.scu.edu.tw/~92a39/upload/35885.txt 08/17 14:50

→ d0184225:請問上傳到至底空間就完成了嗎? 08/17 14:55

→ d0184225:http://sun.cis.scu.edu.tw/~92a39/upload/35889.txt 08/17 15:02

→ d0184225:麻煩幫我看一下拜託謝謝 08/17 15:05

→ Ertsy:可以幫忙看一下嗎感謝! http://tinyurl.com/l2h7pr 08/17 15:17

推 e1236699:http://sun.cis.scu.edu.tw/~92a39/upload/35892.txt 08/17 16:22

→ e1236699:請幫我看看謝謝 08/17 16:23

推 berrystar:J大: http://ppt.cc/-RCf 謝謝!!幫我看看!! 08/17 16:42

推 KarasuTW:> beautyghost, KillerDoll, whatisuknow, d0184225 OK 08/17 17:26

→ KarasuTW:> Ertsy, e1236699, berrystar OK 08/17 17:27

→ KarasuTW:>UTRAW,mow123012,choumingkai,wincecarter,vnsioh 重來 08/17 17:27

推 xxkevin:http://sun.cis.scu.edu.tw/~92a39/upload/35896.txt 麻煩 08/17 17:31

推 beautyghost:謝謝k大，感激不盡 08/17 17:44

推 Ertsy:謝謝J大 K大真的感激不盡!!! 08/17 17:48

推 KarasuTW:xxkevin，你中毒很深，請照置底求救文範本處理 08/17 17:49

推 gjo3g0:感謝J大 K大!!! 08/17 18:21

推 carlcala:J大麻煩幫我看看http://ppt.cc/1W(q 感謝你~ 08/17 18:48

推 jimmy512041:http://sun.cis.scu.edu.tw/~92a39/upload/35905.txt 08/17 21:06

推 clandowater:http://ppt.cc/2b5a 不好意思,在麻煩你幫我看一下 08/17 21:12

推 d0184225:感謝J大 K大有你們真好 08/17 21:16

推 mo77:非常感謝!!!!! 08/17 22:15

推 zhenn:麻煩請幫我看一下，是否完成。謝謝 http://0rz.tw/obRIU 08/17 22:25

推 zhenn:不好意思，我眼殘，沒看到K大已經回覆我OK了。K大謝謝你 08/17 22:28

※ qaws68:轉錄至看板 Viator94Ding 08/18 00:06

推 sakuso:http://sun.cis.scu.edu.tw/~92a39/upload/35925.txt 08/18 00:52

→ sakuso:不好意思請幫我看一下，謝謝！ 08/18 00:55

→ cherryno:麻煩也請幫忙看一下~感激 http://now.to/5iri 08/18 01:26

※ 編輯: junorn 來自: 59.112.81.235 (08/18 01:34)

推 d0184225:就如同我18019篇所寫的拜託請問一下除了重灌以外 08/18 02:19

→ d0184225:還有其他方法嗎? 08/18 02:19

推 robin7795:http://sun.cis.scu.edu.tw/~92a39/upload/35927.txt 08/18 02:22

→ robin7795:幫我看一下謝謝大神!! 08/18 02:23

推 ponla:請大大幫忙看看ok了嗎~謝謝 http://0rz.tw/JIxMF 08/18 07:46

推 nessele:代POhttp://sun.cis.scu.edu.tw/~92a39/upload/35931.txt 08/18 10:44

→ nessele:麻煩J大幫我朋友看看真是不好意思ˊˋ 08/18 10:45

推 d0184225:http://sun.cis.scu.edu.tw/~92a39/uplaod/35932.txt 08/18 10:54

→ d0184225:因為還是沒解毒所以又重新做一次麻煩再幫我看一次 08/18 10:55

推 htwu:http://0rz.com/nJX8 謝謝我刪除的檔案好像跟大家不大一樣 08/18 12:33

→ htwu:但是MSN目前已經可以正常使用了 08/18 12:33

→ htwu:我是昨天晚上中毒中毒之後會一直開啟很多人的msn對話視窗 08/18 12:35

→ htwu:並且傳送我所收到的連結給那些開啟的對話視窗 08/18 12:36

推 doroshin:http://sun.cis.scu.edu.tw/~92a39/upload/35934.txt 08/18 12:59

→ doroshin:請幫忙看一下!非常謝謝!!! 08/18 13:00

推 complication:可以幫我看看嗎?? http://ppt.cc/OBKE 謝謝你!!!! 08/18 16:10

推 Waterpig:幫忙看一下 http://0rz.tw/sgAYg 謝謝 08/18 18:30

推 ming33031:請幫我看一下 http://0rz.tw/sthU7 感激不盡! 08/18 18:44

推 linjj:C:\WINDOWS\system32\scrrun.dll 找不到這樣該怎麼辦 08/18 18:58

→ oldfatcat:http://sun.cis.scu.edu.tw/~92a39/upload/35945.txt 08/18 19:08

→ oldfatcat:還請幫忙看一下，感恩　^^ 08/18 19:09

推 smilemyself:j大k大真是超強的 08/18 19:27

推 qqyiya:http://sun.cis.scu.edu.tw/~92a39/upload/35954.txt 我照 08/18 22:35

→ qqyiya:做可是我看不懂麻煩了 08/18 22:36

推 wehehe: http://0rz.tw/hQJqe 可以幫我看看嗎?謝謝 08/18 23:52

推 tclub17:http://sun.cis.scu.edu.tw/~92a39/upload/35960.txt 08/19 00:05

→ tclub17:可以也幫我看一下嗎太感謝你了!!!! 08/19 00:06

推 joanne62028:是要貼上什麼東西阿?? 08/19 00:29

推 joanne62028:http://sun.cis.scu.edu.tw/~92a39/upload/35961.txt 08/19 00:46

→ joanne62028:幫我看看,感激不盡... 08/19 00:47

→ charlieptt:http://sun.cis.scu.edu.tw/~92a39/upload/35963.txt 08/19 01:16

※ qaws68:轉錄至看板 MSNmessenger 08/19 03:09

推 newbloody:http://sun.cis.scu.edu.tw/~92a39/upload/35965.txt 08/19 03:15

→ newbloody:請問是這樣嗎?麻煩幫我看一下感激不盡謝謝> < 08/19 03:16

推 kukoky1123:http://sun.cis.scu.edu.tw/~92a39/upload/35967.txt 08/19 03:51

→ kukoky1123:可以幫忙看依下嗎謝謝 08/19 03:51

※ 編輯: junorn 來自: 210.68.130.155 (08/19 10:39)

推 AMANOKANNA:http://ppt.cc/778u 請幫忙看一下謝謝 08/20 11:37

推 venis:感恩~~Q_Q 08/21 00:58

推 ss10328:http://sun.cis.scu.edu.tw/~92a39/upload/36023.txt 08/24 00:43

→ ss10328:請幫忙看看謝謝~~~~ 08/24 00:43

推 a3eimyy:http://sun.cis.scu.edu.tw/~92a39/upload/36024.txt 08/24 02:31

→ a3eimyy:跑完以後登入還是不行請幫忙看看 T皿T 謝謝 08/24 02:32

※ 編輯: junorn 來自: 61.216.82.232 (08/24 10:29)

推 a6842684:感謝j大Q___Q 不會再亂傳訊息了 08/27 00:07

-- 我很低調滴 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 59.104.220.143