在板上没有搜索到相关的病毒名，所以就自己土法练功了。 这几天上起点中文网看个小说就发现spybot跳出来一堆东西要我确认， crsss"="%system%\RxpMoN.Exe...之类的，然後就发现我的工作管理员被锁了， 因为之前常遇到所以执行regedit， 到HKCU -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies 底下的System，将DisableTaskMgr那一项改回0 (1的话为禁止使用) 然後到windows\system32底下砍掉rxpmon.exe档，此时发现系统档名被隐藏， 修正之，後来又发现显示所有档案和资料夹也被改掉，修改过後无效， 到网路上找到方法: http://qa.pcuser.com.tw/modules/newbb/viewtopic.php?topic_id=30433&forum=2 不过砍掉这个档还是会再生出来，这时瞄到C:底下多了一个AUToRuN.InF(大小写夹杂)， 网路上找一下发现这东西: http://www.xs2009.cn/PE/List.asp?SelectID=7630&ClassID=19 因此进入安全模式，把windows/system32底下的rxpmon.exe、AUToRuN.InF砍掉， 然後有怪怪的档也砍了.... (好像是1vsto.com还是exe我忘了=.=，有2vs 3vs...等满多的) 把C槽底下的Sos.exe砍掉，接着去搜寻这三个档，发现我E槽也有，砍之， (我的D槽是光碟机) 然後发现我的文件夹里的.htm也被修改了(因为日期变成2000年11月19号) 就顺手也砍了，经由上面第二个连结可发现此病毒会感染htm/html/asp..等的档， 因此看是要砍掉还是自行将被加入的网址去除， 不过此时发现IE主页被锁，因此我使用超级兔子修正之，无此类软体者可参考以下网页: http://forum.icst.org.tw/phpBB2/viewtopic.php?t= 7536&view=previous&sid=51693a1b2a471fb0f4cebf2505d5a198 短网址:http://0rz.tw/913hZ 如果开C槽硬碟打不开要你选个程式的话，就到windows\system32底下找explorer开之， 以上是我弄了两三个小时的心得，希望能让有遇到这玩意的人有点帮助， 也希望如果我有弄错方法或是有更简便的除毒方式的话，能请先进们分享一下，谢谢。 -- [57 Lesser God] = Apprentice = Ker Dragon Realm 龙域传奇 220.135.95.242 3000 Dragon Realm 网站：http://220.135.97.151/ 讨论板：telnet://bbs.ntu.edu.tw, board: MUD 服务版：http://www.pagras.net/forum --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 220.143.35.205 ※ 编辑: cuteker 来自: 220.143.35.205 (11/19 10:51)