作者pigwesley ()
看板AntiVirus
标题[中毒] 无法执行卡巴斯基
时间Thu Jul 10 20:42:27 2008
PO文请使用下列格式并将有要求的档案附上
资料越详细才有办法了解情况并作适当处理
1.问题描述:
请在下面说明碰到的中毒情形,越详细越好(可贴图说明):
今天早上开机就已经怪怪的,防毒软体都无法开启,已经意识到有问题了。
刚好XP有更新,我就先更新,更新後要求重新启动,结果电脑就无法开机,
一开就会有"xxx.exe 无法找到输入点, 找不到程序输入点LdrSetSessionName在动态连结
程式库(mfc40u.dll)",之後找到
#18Nm81Pv 的方式解决。
但是防毒软体还是无法执行(安全模式下也无法)
点了,他会变漏斗状几秒就恢复成普通游标的样子。
2.扫毒报告:
请先使用扫毒软体执行全机扫描後将扫毒结果传到置底空间
如会扫描很久请最少扫描以下位置和防毒软体显示的中毒档案位置:
C:\Windows\System32 C:\Windows C:\Program File
请尽可能提供扫毒报告,如无法扫描请务必注明,也可使用线上扫毒扫描报告
线上扫毒使用方式请看
无法执行卡巴斯基,使用CA eTrust进行线上扫毒,以下是扫完的结果
http://sun.cis.scu.edu.tw/~92a39/upload/31209.txt
有些档案不能删除,有尝试在安全模式下也是无法删除,因为正在执行或使用中
3.系统辅助分析软体扫描报告:
此处报告为需了解你系统内有何程式启动和常驻所必须要的报告
4.报告连结:
请将扫描报告(log)贴於下方 (上面的全要)
Combofix :
http://sun.cis.scu.edu.tw/~92a39/upload/31202.txt
Hijackthis:
http://sun.cis.scu.edu.tw/~92a39/upload/31201.txt
SRENG :
http://sun.cis.scu.edu.tw/~92a39/upload/31203.txt
扫毒报告 :
http://sun.cis.scu.edu.tw/~92a39/upload/31209.txt
麻烦大家了,真不好意思。我已经尽力一天了~"~
先谢谢这个版!!!!!
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 218.173.17.251
1F:推 faris1003:标准的映像胁持... 07/10 20:59
2F:→ faris1003:有用看看板大的置底闪光跑过吗? 07/10 21:02
3F:→ pigwesley:没有耶 我跑跑看! 07/10 21:14
4F:→ pigwesley:现在可以用卡巴斯基了...感谢楼上!!! 07/10 21:52
5F:→ pigwesley:扫出不少毒出来.... 07/10 21:53
6F:推 Tequila7211:你的卡巴版本是多少呢? 报告中有看到许多恶意程式 07/10 22:09
7F:→ Tequila7211:的dll档有挂载在一些执行程序之下 07/10 22:09
8F:→ pigwesley:现在是7.0 07/10 23:06
9F:→ pigwesley:那就是很危险的意思噜@@" 07/10 23:07
10F:→ pigwesley:刚刚好像处里了两个DLL档 07/10 23:12
11F:→ Tequila7211:你的电脑不只两个 有五个以上...你懂的话就手动砍一砍 07/10 23:15
12F:→ pigwesley:我现在都是用卡巴扫的..就扫好几次,好像每次都有新发现 07/10 23:24
13F:→ pigwesley:手动是只要在安全模式下搜出并删除吗? 07/10 23:24
14F:→ pigwesley:之前有试过 但是都被说"XXX.dll 正在被使用中,无法删除" 07/10 23:26
15F:推 Tequila7211:那当然罗 因为他都被挂载某些正常正在执行的程序下 07/10 23:30
16F:→ Tequila7211:所以我的意思是 你懂的话 就手动关闭那些执行程序 07/10 23:30
17F:→ pigwesley:喔喔 我试试看... 07/10 23:31
18F:→ Tequila7211:再来去砍恶意程式dll档 不懂就不要这样做 07/10 23:31
19F:→ pigwesley:那我应该是不懂吧~"~ 07/10 23:35
20F:→ pigwesley:刚刚看了那几份报告後确定了这件事实... 07/10 23:37
21F:→ pigwesley:去了安全模式,但无法确定要关哪里执行程序@@" 07/10 23:55
22F:→ Tequila7211:我只能说真的很多要关...光讲一个explorer.exe就好 07/10 23:58
23F:→ Tequila7211:应该不会砍的就没办法了吧 07/10 23:58
24F:→ pigwesley:嗯嗯....我知道了 感谢你了!! 谢谢!! 07/11 00:04
25F:推 junorn:将EFix扫描完之後的报告贴上来我看一下 07/11 00:06
26F:推 Tequila7211:版大出马了>"< 改天真的要跟版大学习下面提供的工具 07/11 00:09
27F:→ Tequila7211:怎样用来修复删除档案 07/11 00:09
28F:推 junorn:用icesword删一删就好了,置底的图个方便而已 07/11 00:16
29F:→ pigwesley:我点了EFix468 就出现 07/11 00:32
30F:→ pigwesley:environmental variable commonstartup is null 07/11 00:33
31F:→ pigwesley:然後叫我按任何键 可以离开 07/11 00:33
32F:→ pigwesley:好像都没有动静@@" 07/11 00:35
33F:→ pigwesley:我在执行等久一点看看! 07/11 00:41
34F:推 junorn:不用啦,那表示你的commonstartup登录值为空值,要先补上 07/11 09:49
35F:→ pigwesley:冏! 该怎麽补上commonstartup?? 07/11 13:45
36F:推 junorn:先不管他,照我回文的方式作 07/11 14:18