作者doching (正在逗趣)
看板AntiVirus
标题Re: [问题] 扫到DOS_AGOBOT.HM,隔离後重开机却又 …
时间Mon May 3 00:43:09 2004
※ 引述《poki555 (无止境的等待)》之铭言:
: 我用pc-cillin2003作全系统扫描, 已更新最新病毒码881及windows update所有更新
: 扫到一只DOS_AGOBOT.HM,
: 而且也把它隔离了,该病毒所在资料夹为C:\WINNT\system32\drivers\etc\hosts
: 但重开机後却又出现了,而且趋势网页也上不去,把hots删掉後又可以上趋势网页
: 但重开机後又出现了,以爬过文,似乎没有大大遇过这件事情,
: 我跟我室友都这样...请各位高手们指点,感激不尽!
上奇摩摩域找到的解决方法(黄色部分是我附注的)
users of win xp:
1. 先拔掉网路线
2. 启动电脑
3. 进入c:\windows\system32\drivers\etc\host
4. 双点'hosts'
5. 以notepad开启'hosts'
6. 除了'127.0.0.1 localhost'外, 删掉其余地址
(这些地址就是被封锁的 如没有localhost一项 那就在全删後自己加上)
7. 离开并储存修改
8. 再到c:\windows\system32\
9. 找出名为wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe
将之delete
10. 到c:\
11. 有可能出现约70个exe档,
(假如你在1/5/2003感染病毒, 该70多个exe档的建立日期就是1/5/2003),
事实上, 那70多个不寻常的执行档很易被认出.
12. delete那70多个exe档
13. (开始/执行,输)入regedit
14.
(进入登录编辑程式)
进hkey_local_machine\software\microsoft\windows\currentversion\run,
delete 出现 wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe 的指令
15. 进hkey_local_machine\software\microsoft\windows\currentversion\runservices,
delete 出现 wmiprvsw.exe or msiwin84.exe or hkey.exe or win32.exe
16. 离开并储存regedit
17. 最後重新开机 and 接上网路线
--
你 今 天 doch 了 吗 ?
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 140.122.203.233
1F:→ poki555:我解决了,真是太感谢了!叩..<(/__\)> 推 203.73.98.79 05/03
2F:→ sharptooth:挖咧 重开还是又找到 推 61.231.99.226 05/03