作者hoda (棒棒棒)
看板AntiVirus
标题[中毒]好像是笔记本病毒
时间Thu May 22 10:28:37 2008
1.问题描述:
电脑一打开就跑出一堆乱码的笔记本,
然後开大部分的东西跳出来的也是乱码笔记本。
2.扫毒结果:
按扫毒程式也是变乱码笔记本,
也无法上网使用线上扫毒。
4.报告连结:
请将上传的扫描报告(log)连结贴於下方 (全部都要)
Combofix :按下去变乱码笔记本
Hijackthis:按下去变乱码笔记本
SRENG :
http://kotuha.com/file/Bxe78-SREngLOG.html
扫毒报告 :按下去变乱码笔记本
以上程序无法执行者请说明原因。
我爬过文,爬文的连结点了也是乱码笔记本。
而也在知识家找过,用过FixBacalid和stinger-bacalid都没有用,
版上有人会解这病毒吗?
感谢!!!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 123.195.1.8
※ 编辑: hoda 来自: 123.195.1.8 (05/22 10:29)
1F:推 junorn:你下载这个看能不能跑 05/22 10:34
3F:→ hoda:一样先跳出乱码笔记本,然後出现一个蓝画面的AutoScan,接下 05/22 10:40
4F:推 junorn:这麽狠喔..连.com都感染 05/22 10:42
5F:→ hoda:来出现程式错误按了确定,过一阵子跑出一个log记事本要贴吗? 05/22 10:42
6F:推 junorn:要 05/22 10:44
9F:→ wkwtb:如果是的话,可能是档案关连错误~~ 05/22 10:46
10F:推 junorn:有两种可能,第一种是文件关连被改掉 05/22 10:47
11F:→ wkwtb:这是我手动用 notepad 开启其他各种类型档案的结果 05/22 10:47
12F:→ hoda:没错,就是楼上那样的乱码记事本。刚开机时还会跑出一堆 05/22 10:47
13F:→ junorn:第二种是档案被感染。 05/22 10:47
14F:→ hoda:好像很严重,那还有救吗? 谢谢帮忙!!! 05/22 10:49
15F:→ junorn:档案被感染要靠防毒软体去解,关连被改掉的话... 05/22 10:51
16F:→ junorn:你按开始 -> 执行 -> 输入 %systemroot%\explorer.exe 05/22 10:52
17F:→ junorn:然後看会不会跳我的文件出来,或者一样是乱码视窗 05/22 10:52
18F:→ hoda:一样跳出乱码记事本˙˙ 05/22 10:54
19F:推 junorn:那应该是关连被修改掉了...730篇的流程跑一遍看看 05/22 10:55
20F:→ hoda:照前面步骤做完,点REGEDIT.EXE这个後一样跳出乱码记事本 05/22 11:00
21F:→ hoda:还有我连在执行列打cmd都是跳出乱码记事本˙˙ 05/22 11:03
22F:→ junorn:那我的电脑开的起来吗? 05/22 11:04
23F:→ hoda:可以 里面的资料夹都打得开 05/22 11:06
24F:→ hoda:只是档案点了都变乱码记事本而已 05/22 11:07
25F:推 junorn:ok,那你到选项那边将隐藏副档名那边取消掉 05/22 11:09
26F:→ junorn:取消之後将c:\windows\system32\cmd.exe复制到c:\windows 05/22 11:10
27F:→ junorn:底下,并将他改名为ktv.com 05/22 11:10
28F:→ junorn:然後按开始 -> 执行 -> 输入 %systemroot%\ktv.com看看 05/22 11:10
29F:→ junorn:有没有dos视窗出现 05/22 11:10
30F:→ hoda:它找不到除非我後面加.exe,不过这样打开就又变乱码记事本了 05/22 11:14
31F:推 junorn:找不到是指?执行後说找不到关连还是找不到cmd.exe? 05/22 11:16
32F:→ hoda:如果我只在执行列输入%systemroot%\ktv.com会显示找不到档案 05/22 11:18
33F:→ hoda:而要是我变输入%systemroot%\ktv.com.exe则就又变乱码记事本 05/22 11:18
34F:推 junorn:你改名的时候副档名有改吗? 05/22 11:20
35F:→ junorn:阿算了我这边直接给,节省时间 05/22 11:21
36F:→ hoda: 嗯嗯 不好意思麻烦你了 感谢 05/22 11:21
38F:→ junorn:下载到c:\ ,然後按开始 -> 执行 -> 输入 c:\cmd.com看看 05/22 11:22
39F:→ junorn:ok的话你按assoc .exe之後按确定 05/22 11:24
40F:→ junorn:然後看一下显示出来的是不是.exe=exefile 05/22 11:24
41F:→ hoda:出现dos画面,我输入assoc出现一堆文字但看到你打的那行 05/22 11:27
42F:推 junorn:assoc .exe 空白和.exe都要打 05/22 11:29
43F:→ hoda:哦哦 有了有了 05/22 11:30
44F:推 junorn:出现的名称是.exe=exefile吗? 05/22 11:30
45F:→ hoda:嗯嗯嗯 没错 05/22 11:32
46F:推 junorn:那你下载730那篇的档案之後将他复制到c:\ 05/22 11:32
47F:→ junorn:然後先输入下列文字 05/22 11:32
48F:→ junorn:copy /y %systemroot%\regedit.exe c:\regedit.com 05/22 11:33
49F:→ junorn:然後等他跑完後在输入下列文字 05/22 11:33
50F:→ junorn:regedit /s 下载的名称.reg 下载的名称看你刚刚下载名称叫 05/22 11:34
51F:→ junorn:什麽 05/22 11:34
52F:→ junorn:抱歉上面的更正一下,改为c:\regedit.com /s 下载的名称.re 05/22 11:35
53F:→ junorn:g 05/22 11:35
54F:→ hoda:我输入copy /y %systemroot%\regedit.exe c:\regedit.com这行 05/22 11:38
55F:→ hoda:时 显示找不到 copy 05/22 11:38
56F:→ junorn:要在dos视窗底下做喔 05/22 11:38
57F:→ hoda:喔喔 谢谢 05/22 11:41
58F:→ hoda:对了 那下载的档案有两个所以要重复做两次那步骤了喔 对吧 05/22 11:43
59F:推 junorn:嗯...都做吧,虽然两个一样的东西 05/22 11:43
60F:→ hoda:OK 完成了 然後呢?? 05/22 11:50
61F:推 junorn:重开机看看有没有好转。没有就放弃吧 05/22 11:51
62F:→ hoda:......看来失败了 打开一样一堆乱码记事本 05/22 11:54
63F:→ hoda:还是很谢谢你帮忙!! 谢谢~!! 05/22 11:54
64F:推 junorn:那就没办法了,应该是档案被感染。只能靠防毒 05/22 11:55
65F:→ hoda:所以那台电脑只能传灌的命运了喔 是吗??? 05/22 11:56
66F:→ hoda: 重 05/22 11:57
67F:推 junorn:可能会比较快,不然光想要怎麽解会很久 05/22 11:58
68F:→ hoda:嗯嗯 好吧 只好告诉电脑主人这残酷的事实了 谢啦 05/22 12:00
69F:推 polomoss:这问题超难搞的.....我碰过两次~~无预警!!开机就变这样@@ 05/24 00:43