※ [本文轉錄自 NCKU-YP 看板] 發信人: nickkiang.bbs@bbs.ccns.ncku.edu.tw (在台南等開學的日子), 看板: NCKU-YP 標 題: [重要]最新病毒資訊 發信站: 夢之大地 (Tue Sep 7 04:29:35 2004) 轉信站: ptt!Group.NCTU!grouppost 作者為PTT 防毒版的版主 TureCooler ------------------------------------------------------------- 重開機反覆綁架 ※ 引述《shoeman (新年快樂)》之銘言： : 小弟已經按照版上步驟移除一些exe檔 : 到新增移除程式移除了一些程式(等等會列出來) : windows update也更新了 (windows2000) : 也裝了hijackthis ad-aware和spybot-s&d : 也都在安全模式中進行 : 可是只要重開機 打開IE 立刻就會跳出一個xfks.exe的檔案 : 接者跳出一個網頁 網址列顯示為"C:\sex.html" : 但不影響ie的運作 : 然後C槽立刻出現四個檔案 分別是 : sex.html, sex.bat, sex.reg 和xfks.exe : 然後program files裡面立刻出現bulleye newwork, : internet optimizer, Istsvc, powerscan, sidefind, Winad Client等資料夾 : 已經重複了好幾次版上的步驟 : 可是每次重開機又要再來一遍 : 我想我一定有一些東西沒有清乾淨 : 只好來版上求救 請先到控制台中的新增/移除程式 找看看是否有 bulleye newwork,internet optimizer, Istsvc, powerscan, sidefind, Winad Client 等程式可以移除 在移除過程如果有要你留任何的功能或toolbar 請不要留下 接著 到安全模式下(windows讀取畫面前按下f8) 登入後 找到下列的檔案並刪除 (建議要能連隱藏檔都看的到　在視窗中有工具==>資料夾選項==>檢視==>進階選項 有個"隱藏保護的作業系統檔案(建議使用)" 把勾去掉 會問你是否要這樣作 按"是" 還有"隱藏檔案和資料夾"裡改成"顯示所有檔案和資料夾" 接著按下套用 如果有找不到的　沒關係　可能是刪掉了) C:\WINNT\system32\netlink32.exe C:\WINNT\system32\winudp32.exe C:\WINNT\system32\windrvl32.exe C:\WINNT\onejqrev.exe c:\temp\msbb.exe C:\WINNT\nem219.dll C:\Documents and Settings\Mu-Hsueh\Local Settings\Temp\iinstall.exe 到c:\program file找到下列資料夾並刪除 bulleye newwork,internet optimizer, Istsvc, powerscan, sidefind, Winad Client 把上面綠色部份的東西都打勾(只要勾選我刪除所剩的那些) 並按下Fix checked 問你是否要刪除 按yes 必做：馬上為你使用者設密碼(控制台中有一個使用者帳戶　找到自己的名稱 另外 你的電腦如果有Administrator ,Guest帳戶的話 也一併設密碼) 做完windows update(重大更新部份, 開始程式集中有) 以上 也請你將你的防毒軟體更新到最新病毒碼並掃毒過一次 windows update過後 可能會因為你在安裝新的修正檔時 病毒會趁此時再度入侵 如果我要求要刪除的檔案再度出現 請再執行上方的步驟清除一次 ------------------------------------------------------ 連線後一陣子便無法上網 ※ 引述《creare (也許我可以陪妳)》之銘言： : 情形是使用網路連線一陣子過後，仍然保持連線狀態 : 但是新開網頁或是使用bbs都開不起來 如果有下一次的重灌 請在連上網路前先把防毒軟體裝好... 到安全模式下(windows讀取畫面前按下f8) 登入後 找到下列的檔案並刪除 (建議要能連隱藏檔都看的到　在視窗中有工具==>資料夾選項==>檢視==>進階選項 有個"隱藏保護的作業系統檔案(建議使用)" 把勾去掉 會問你是否要這樣作 按"是" 還有"隱藏檔案和資料夾"裡改成"顯示所有檔案和資料夾" 接著按下套用 如果有找不到的　沒關係　可能是刪掉了) c:\windows\system32\Microsoftx.exe c:\windows\system32\w32usb2.exe c:\windows\system32\sysprocessor.exe c:\windows\system32\systemll.exe c:\windows\system32\sysentry32.exe c:\windows\system32\winupdater.exe c:\windows\system32\pidserv.exe C:\WINDOWS\System32\esjgsr.exe C:\WINDOWS\conscorr.exe 都刪除之後 請執行hijackthis　再度按下scan後 把上面綠色部份的東西都打勾(只要勾選我刪除所剩的那些) 並按下Fix checked 問你是否要刪除 按yes 必做：馬上為你使用者設密碼(控制台中有一個使用者帳戶　找到自己的名稱 另外 你的電腦如果有Administrator ,Guest帳戶的話 也一併設密碼) 做完windows update(重大更新部份, 開始程式集中有) 以上 也請你將你的防毒軟體更新到最新病毒碼並掃毒過一次 windows update過後 可能會因為你在安裝新的修正檔時 病毒會趁此時再度入侵 如果我要求要刪除的檔案再度出現 請再執行上方的步驟清除一次 -- ◢◣ ︵︵ █▔◣ █▔█ █▔▔ █▔█ █▆▉ █ █▔█ █◣█ █▔● ◢◤█◣◢◣ ︵︵ █ █ █▁◤ █▁▁ █▁█ ▉▉▉ █ █▁█ █◥█ █ █ 夢之大地 逼逼ㄟ四 █▁◤ █ █ █▁▁ █ █ ▉▉▉ █▁ █ █ █ █ █▁◤ ※ Origin: <bbs.ccns.ncku.edu.tw> ◆ From: 140.116.112.35 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.116.112.35