Re: 中了這個毒 W32.HLLW.Gaobot.gen

作者flowwinds (神殤)

看板AntiVirus

標題Re: 中了這個毒 W32.HLLW.Gaobot.gen

時間Fri Mar 5 12:08:58 2004

※ 引述《CL4 (吃)》之銘言： : ※ 引述《kimimi (~*~微米~*~(pic))》之銘言： : : 電腦突然跳出norton視窗說中了這個毒 : : 只能被隔離的樣子 : : 該怎麼辦？！ : 我也有中但是我第一個檔案砍了 : 然後它又感染一個 : 後來我去抓norton的removal tool來用 : 卻怎麼也找不到它說沒中 norton又一直警告 : 我又用貓熊掃也沒事 : 現在計中還沒停我網我也上逼上很快樂喔耶 : 有沒有中毒我也不知道 removal tool沒掃到應該就算沒事了還一直跳出警告就設密碼看看參考元智大學kkhi大所寫的網頁 http://home.kimo.com.tw/derrick21002001/ 小弟淺見,有錯請不吝指正 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 203.70.2.246 ※ 編輯: flowwinds 來自: 203.70.2.246 (03/05 12:10) > -------------------------------------------------------------------------- < 作者: poety (泉柳川細步) 看板: AntiVirus 標題: Re: 拜託各位！！時間: Tue Mar 16 00:36:04 2004 ※ 引述《carvinmind (我們五個)》之銘言： : 最近我的電腦出現了兩個怪毛病 : 一個是會不停的出現 : 『訊息從LAN送到140.119.XX.X，時間2004/3/16 上午12：05：44 : sound.man.exe中發現病毒！ : 病毒名稱：W32.HLLW.Gaobot.gen 』 : ^^^^^^^^^^ : 這好像每次都會不一樣 : 另一個是當我打開KKMAN時也會出現一個對話欄 : 『Routime Error! Program:C:\Program Files\ : KKman\KKMAN.exe : abnormal program termination 』 : 如果我把這對話匡按確定那KKMAN也會消失所以就沒辦法用 : 麻煩各位有經驗告訴我該怎磨做壓拜拖拜託！！這幾隻我前天才中，機車的是還會關我Norton，我再開它又關。檔名應該是叫 soundman.exe，毒就是 W32.HLLW.Gaobot.gen。我的症狀是打字使用新注音就會當，到後來連開啟筆記本都會當。我的方法是先去Norton下載專門掃殺該毒的Tool，精華區中有。接下來重開機進入安全模式(不使用網路功能)，在那裡掃殺它。同時用搜尋整個硬碟的方式找soundman.exe，手動去刪除它。最後"設密碼"，同時關掉其他使用者模式，只留一個。再度重開機後，使用PC西林線上掃毒掃一遍。我那時是把那隻毒從隔離區中移送給Norton防制中心了~ 今天有更新檔，不知有沒有解決那隻毒的問題。這些該死的毒搞到學校關掉某些Port，害我今天下午以後就不能玩機器人大戰。 > -------------------------------------------------------------------------- < 作者: its (難得) 看板: AntiVirus 標題: Re: 請問檔案.. 時間: Fri Mar 19 12:32:03 2004 ※ 引述《saloonpass (挖哈哈)》之銘言： : 請問檔案 scvhost.exe : scvhost.exe.poly : 這兩個檔案是幹嘛的？ : 我中了W32.HLLW.Gaobot.gen : 現正隔離中，但是我不知道能不能把他殺掉 : 請大家指點一下這是我前二天中的毒… 解決方法我轉錄如下… 病毒名稱：WORM_AGOBOT.HM 解決方案（已感染之機器） 1.先上WindowsUpdate將未更新之patch全部更新，如果上網有問題，可先不作。 2檢查網路上的芳鄰，任何分享或共用先關掉，尤其是everyone的權限設定方式。 3.拔掉網路線。 4.重新開機，進入Windows安全模式（按F8可進入，可能會開機一陣子）。 5.搜尋檔案叫做soundman.exe，該檔案應該位於 %SystemRoot%\System32\SoundMan.exe （如果是windows2000 則位於WinNT\systme32），將其刪除（此即為病毒擋）。 6.可以的話打開位於 %SystemRoot%\System32\Drivers\etc\hosts 檔案，移除多餘　的entries。 7.執行regedit.exe，移除病毒所寫入之機碼，分別在 HKLM\Software\Microsoft\Windows\CurrentVersion\Run\~'d}qzxu3zyf 以及 HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\^`d}qZxu。 8.插回網路線，重新開機。 9.此時電腦之cpu loading應該是恢復正常，請再檢查步驟一及步驟二。 10.檢查防毒軟體是否正常啟動，如果有異，可以解除安裝-->重新開機-->重新安裝。特別聲明 1.此次新病毒由於發生之時（3/15），趨勢病毒碼為817，但是該病毒必須818以上才偵　測的到，所以造成多人中毒。 2.此次病毒乃針對微軟作業系統漏洞，故再一次呼籲同仁啟動作業系統自動更新功能。 3.此病毒同時會針對共用資料夾作感染動作，尤其是不設防的共用資料夾（權限設定為　everyone可以寫），請同仁多注意共用資料夾的安全問題。 4.此病毒較為特殊的是，如果您已中毒，就算病毒碼已更新至最新（822）也掃不到，　必須follow上述解決方案才能有效解決。 > -------------------------------------------------------------------------- < 作者: FishAngie (快考試了！要用功呀！) 看板: AntiVirus 標題: Re: [問題] W32.Randex.gen和W32.HLLW.Gaobot.gen 時間: Sun Apr 18 17:40:13 2004 ※ 引述《FishAngie (快考試了！要用功呀！)》之銘言： : ※ 引述《LegendWu (連宋落選反攻大陸N )》之銘言： : : 請問這兩個病毒要怎麼處理？ : : 我對這完全外行 : : 他們破壞了C:\WINNT\system32\winlord32.exe : : C:\WINNT\system32\msgfix1.exe : : E:\sysconf.exe : : 救救我吧 : : 多謝 : W32.HLLW.Gaobot.gen : http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.gaobot.gen.html 中文的網頁 http://www.symantec.com/region/tw/avcenter/vinfo/venc/data/tw-w32.hllw.gaobot.r emoval.tool.html > -------------------------------------------------------------------------- < 作者: LinaInverse (綠茶好喝....) 看板: AntiVirus 標題: [心得] gaobot系列病毒時間: Tue May 4 01:18:38 2004 當你發現你的NAV或是liveupdate之類的東西掛點的時候八成就是中了gaobot系列的毒最近的gaobot!inf 會讓你連www.symantec.com等等的網站都上不去也就是說你不能下載更新檔或是清除工具這時候請用別人的電腦下載更新檔然後再拿到你的電腦去更新以上是本人這學期中過兩次不同的gaobot毒的解毒心得提供給各位參考 > -------------------------------------------------------------------------- < 作者: userbrian (B.R.I.) 看板: AntiVirus 標題: Re: [心得] gaobot系列病毒時間: Tue May 4 03:47:59 2004 不知道怎麼清除的話就試試看趨勢的TSC吧 http://www.trendmicro.com/ftp/products/tsc/tsc.zip 根據趨勢的說法，TSC會：結束所有記憶體裡惡意程式的執行從registry entries裡移除惡意程式從系統檔裡移除惡意程式 TSC的病毒定義數量目前是847種，不過有沒有效我倒是沒試過(因為沒中過毒 @@) 掃描結束後會在report資料夾存一個報告，可以看看結果有沒有掃到東西 ----- 趨勢還另外提供單機的掃毒程式，需要病毒碼才能執行(這其中包括了TSC程式) http://www.trendmicro.com/ftp/products/tsc/sysclean.com 記得這個要跟病毒碼丟在一起才能跑病毒碼下載 http://www.trendmicro.com/download/zh-tw/pattern.asp 來源：http://www.trendmicro.com/download/zh-tw/tsc.asp 不過越來越多攻漏洞的病毒>"< 記得隨時Update、不亂開檔案才是最有效的防毒方式. ※ 引述《Frankaze (神采風華)》之銘言： : ※ 引述《LinaInverse (綠茶好喝....)》之銘言： : : 當你發現你的NAV或是liveupdate之類的東西掛點的時候 : : 八成就是中了gaobot系列的毒 : : 最近的gaobot!inf 會讓你連www.symantec.com等等的網站都上不去 : : 也就是說你不能下載更新檔或是清除工具 : : 這時候請用別人的電腦下載更新檔然後再拿到你的電腦去更新 : : 以上是本人這學期中過兩次不同的gaobot毒的解毒心得 : : 提供給各位參考 : 今天我有個朋友就中了gaobot!inf : 我幫他橋了老半天還是喬不出所以然 : 只有修改了host : 請問有人會解這個毒嗎? : 因為我在Norton的網站裡面找不到!inf的解法= =" > -------------------------------------------------------------------------- < 作者: TureCooler (天氣真好呀= =) 看板: AntiVirus 標題: Re: [問題] 線上掃毒掃不到毒防毒體卻掃到毒...... 時間: Wed May 12 02:17:36 2004 ※ 引述《morning79 (morning)》之銘言： : 我用了趨勢科技和賽門鐵克的線上掃毒 : 都掃不出毒來 : 可是我的防毒軟體 Vshield卻掃出了六百多個受感染的檔案 : 病毒名是w32/gaobot.worm.gen.h : 那位大大可以告訴我是怎麼回事嗎 : 附帶一提 : 我的電腦運作的還蠻正常的 http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx? idvirus=46806 這要請你自己看一下...