目前發現有兩種情況會掃出rookit 1.百度搜尋 (最近大部分人都是掃到這個) 處理方式: 關閉系統還原後, 到安全模式底下 刪除黃字的資料夾 C:\PROGRA~1\baidu\ 之後回一般模式用hijackthis掃 仔細看裡面的機碼,含有baidu 或是百度之類字眼的通通打勾fix 應該會有長得像以下這兩個的機碼(或許還有其他,找到的都打勾fix) O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} -C:\PROGRA~1\baidu\bar\baidubar.dll O3 - Toolbar: 啃僅閉撰刲啪 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} -C:\PROGRA~1\baidu\bar\baidubar.dll 若還是有問題 或是有搜尋到BDGard 請參閱 14983 m 2 3/25 tsubasawolfy □ [方案] 百度超級搜霸 2.另外一個rookit 尋找電腦裡是否有以下幾個檔案和機碼 C:\WINDOWS\javapanel.exe C:\WINDOWS\taskcntr.exe C:\WINDOWS\System32\xpjava.exe O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe 如果有, 先關閉系統還原 然後重開到到安全模式 開啟看得到隱藏檔及系統檔 按下ctrl+alt+del 開起工作管理員並強制關閉以下幾個檔案(如果有) javapanel.exe taskcntr.exe xpjava.exe sysmanager.exe 開始=>執行=>打入 regedit.exe 然後按enter 編輯器打開後, 照路徑打開 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 接著到上面選單 編輯=>搜尋=>搜尋目標輸入 以下的名稱: 然後將該服務停止然後刪除 javapanel.exe taskcntr.exe xpjava.exe sysmanager.exe 重新用hijackthis掃 如果以下機碼還有出現, 在前面的框框裡打勾fix C:\WINDOWS\javapanel.exe C:\WINDOWS\taskcntr.exe C:\WINDOWS\System32\xpjava.exe O23 - Service: ECA (cpanel) - Unknown owner - C:\WINDOWS\javapanel.exe O23 - Service: TASKESV (TESV) - Unknown owner - C:\WINDOWS\taskcntr.exe O23 - Service: SystemManager - Unknown owner - C:\WINDOWS\sysmanager.exe 完成以上步驟後 再將上面黃色字的檔案刪除 還沒完.....= =" 將以下位置Temp裡的檔案也全部刪除 Delete all files and directories from: C:\Documents and Settings\(使用者名稱)\Local Settings\Temp 而且每一個使用者名稱都要做這個動作 打開IE 工具=>網際網路設定=>Temperary Internet file =>刪除cookie /刪除檔案 然後到 C:\WINDOWS\Prefetch 刪除Prefetch裡所有的檔案 C:\WINDOWS\Temp 刪除Temp裡所有檔案 最後重開到一般模式應該就ok了 系統還原在電腦確定ok後也可是需要再度打開 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 61.217.195.174 ※ 編輯: lostname 來自: 61.230.54.67 (04/25 10:54) ※ 編輯: lostname 來自: 61.230.54.67 (04/25 10:55)