作者et1783 ()
看板CMU_M52
标题[转录]Re: [求救] 中了MSN的毒= =
时间Thu Aug 27 12:24:35 2009
※ [本文转录自 AntiVirus 看板]
作者: junorn (威廉华勒斯) 看板: AntiVirus
标题: Re: [求救] 中了MSN的毒= =
时间: Fri Aug 14 16:10:25 2009
复制底下**符号行到**符号行之间所有文字不包含*号
*******************************************
move file::
c:\windows\client.exe
C:\Windows\msupdate32.exe
C:\WINDOWS\livemessenger.com
c:\windows\system32\msword98.exe
C:\WINDOWS\mslsrv32.exe
C:\WINDOWS\msnmsg.exe
mod reg::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Client"=-
"Windows Update Service"=-
"Microsoft Update"=-
"msword98"=-
"Regedit32"=-
"Microsoft Driver Setup"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Client"=-
"Windows Update Service"=-
"Microsoft Update"=-
"msword98"=-
"Microsoft Driver Setup"=-
reboot::
********************************************
复制之後下载EFix
http://reinfors.blogspot.com/
下载到桌面之後执行
等执行到出现一个视窗标题叫script gui的时候
在那个视窗中间空白可以输入文字的地方按右键选贴上
确认你贴上的内容和你复制的内容一样之後按下方的scan按钮等他跑完
跑完之後就连msn看看还会不会乱传网址
还是会的话将扫描报告传到置底空间连结後贴上来
不会就不用了.
并使用新版和更新病毒码至完整状态的防毒软体作全机扫瞄.
--
长路如淡梦 无尽空叹息
月光照亮我心房 野花轻摇指前路
过失之痛满胸中
抬手长自抚 愿能将其拂
欲言又止万千语 化作叶儿染爱色
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 210.68.130.155
2F:→ junorn:恩好了这样就可以了 08/14 16:43
3F:推 StaurusW:真的吗!? 那我还需要再改密码吗? 08/14 16:49
4F:→ StaurusW:请问 "C:\ef_backup\Backup\c\WINDOWS\client.exe.vir" 08/14 16:52
5F:→ StaurusW:这个档要删除吗? 刚刚用PANDA扫描换成这个有问题 08/14 16:53
8F:→ junorn:那个就是EFix帮你删除的c:\windows\client.exe,删掉就好 08/14 17:06
9F:→ junorn:密码能改就改. 08/14 17:07
10F:推 StaurusW:嗯嗯 感谢你的帮忙 08/14 18:24
11F:推 smilemyself:大推大推喔喔喔喔喔喔超厉害的谢谢你 08/14 23:34
13F:→ johnlu:我用NOD32 avadare 都说很健康 08/15 00:30
14F:→ johnlu:网友用德国小红伞+木马大师2009都没事 08/15 00:31
15F:推 smilemyself:我又中毒了可以去看依下18088的文章吗?? 08/15 00:55
16F:推 h000ya:你好 我今天也不小心中这个毒了...QQ 用这个方法之後登入 08/15 01:20
17F:→ h000ya:还是有一样的问题耶.... 请问能教教我怎麽办吗? 08/15 01:20
18F:→ h000ya:我完全看不懂 那些程式英文 所以也没办法用上一篇的方法解 08/15 01:21
19F:推 KarasuTW:>johnlu 请用 VirusTotal, Jotti's malware scan 等服务 08/15 03:31
20F:→ johnlu:K大所以这是最新MSN病毒服务 08/15 03:38
21F:→ johnlu:如果把那两个Client拿掉的话是否就解决 08/15 03:38
22F:→ johnlu:h大你因为启动有执行到client记得不要执行或者先删除 08/15 03:41
23F:→ johnlu:显示 BackDoor.IRC.Sdbot.5130 08/15 03:43
24F:推 KarasuTW:VirusTotal 和 Jotti's 是线上单档扫描程式,可测试多个 08/15 03:56
25F:→ KarasuTW:防毒软体… SDBot 是蛮有历史的後门程式了,这次用的方法 08/15 03:56
26F:→ KarasuTW:很低调不易事前侦测... 过几天应该大家都能防了 08/15 03:57
27F:推 faris1003:J大推一个,我果然还是不擅长解释...=.= 08/15 09:00
28F:→ johnlu:因为档案属性很怪+档案再重开机会显示是否执行 08/15 09:03
29F:→ johnlu:我使用PCtools防火+NOD32试用.问我是否执行.我按取消後 08/15 09:05
30F:→ johnlu:又再一次.在跑去Msconfig发现启动怪怪的.去找档案位置 08/15 09:05
31F:→ johnlu:才发现档案属性.会大意中招.因为跟对方当时还在聊天MSN 08/15 09:06
32F:→ johnlu:一点也没有那种无名者一丢就跑的状况 08/15 09:06
33F:→ johnlu:所以很难防备.+上点开後整个电脑变的超慢LAG 08/15 09:06
34F:→ johnlu:才注意到他在启动IUI里面自我安装两次都在\windows\ 08/15 09:07
35F:→ johnlu:没事把启动IUI清理得太乾净果然被看出来 08/15 09:07
36F:推 h000ya:我开网页之後很白痴的按了执行....我现在应该怎麽做@@ 08/15 12:39
37F:推 h000ya:用小红伞扫毒能解决吗 我的电脑里装的是这个 08/15 12:53
38F:→ johnlu:h大你也中奖看得懂我的图吗.知识+说红伞找不到 08/15 14:28
39F:→ johnlu:我在第一封有贴40的线上只有5个找到後门木马 08/15 14:29
40F:推 h000ya:对不起...我看不懂....那我可以用你这篇贴的方法吗? 08/15 17:20
41F:推 KarasuTW:这一篇或 #1AXbNp3D 的试试看,SDBot 持续变种中... 08/15 17:57
※ 编辑: junorn 来自: 61.216.80.103 (08/15 22:03)
※ 编辑: junorn 来自: 61.216.80.103 (08/15 22:06)
42F:推 h000ya:如果扫完的LOG档显示没有删除任何档案 就表示失败是吗? 08/15 22:27
※ 编辑: junorn 来自: 61.216.80.103 (08/15 22:42)
43F:推 paying02:请问一下 我用了你的方法 他说没有删除任和档案 这样 08/16 01:08
44F:→ paying02:是好了吗 谢谢 08/16 01:09
45F:→ KarasuTW:如果是刚按到就跑过来的人,这个毒要重开机才会安装... 08/16 01:18
46F:→ KarasuTW:所以重开机後套用这个脚本才会有效 08/16 01:18
47F:推 ajpomelo:这招很有用!!!感恩我解掉了XD 08/16 02:02
48F:推 abatw:推 帮两个同学解决了:D 08/16 10:12
49F:推 cd00739283:感谢感谢~终於清掉了~差点就要重灌了XD 08/16 10:50
51F:→ GinHan:没有删除client 不过上线好像没有乱传东西 08/16 14:21
52F:→ GinHan:只删掉一个 怕怕的 谢谢 08/16 14:23
53F:→ KarasuTW:>GinHan 没有问题 08/16 14:37
54F:推 GinHan:感谢~~ 08/16 14:39
※ 编辑: junorn 来自: 61.216.80.103 (08/16 20:08)
58F:推 KarasuTW:楼上三个都 OK... 08/16 21:12
59F:推 icejoseph:请问 置底的空间是指? 08/16 21:25
60F:→ littlblac:跟楼上的疑问一样.... 08/16 21:27
63F:推 KarasuTW:>cybuler 请把 C:\Windows 改成 E:\Windows 再来一次 08/16 22:24
64F:推 KarasuTW:>killualee OK... 08/16 22:26
65F:推 killualee:谢谢!! 08/16 22:29
67F:推 jimmy512041:把LOG传到至底空间 什麽意思? 08/16 22:48
68F:推 AQmike:请问一下 如果我只有点连结 没按下载 这样会中吗?? 08/16 22:49
69F:→ AQmike:我问我朋友它们都说我没有传给他们连结 这样就是没中吗? 08/16 22:51
70F:推 amber0806:感谢~ 08/16 22:54
72F:推 zhenn:把LOG传到至底空间 什麽意思? 08/16 23:10
74F:→ MAHORA:上面这个是置底上传空间 08/16 23:11
75F:→ MAHORA:把最底下的[公告] 求救文,发文前须知!【必看!】看一下 08/16 23:12
76F:推 zhenn:上传完成就代表ok了吗? 08/16 23:13
85F:→ wakai:帮忙一下 拜托 08/17 00:25
87F:→ nessele:不好意思 也拜托帮我看一下Q Q 被这个病毒弄得好烦=儿= 08/17 02:06
88F:推 Aaronko:太感谢了~成功 08/17 02:14
90F:推 kevinlcsf:重开机过後用脚本 没有删除任何档案 也没有传网址给别人 08/17 02:48
91F:→ kevinlcsf:这样是ok的吗.. 08/17 02:48
93F:推 KarasuTW:又变种啦 J 大 OTL... 08/17 06:13
94F:推 KarasuTW:>cybuler 你可能有中别的病毒,请照求救文范例另外发文 08/17 06:25
95F:推 KarasuTW:> ALLPASS2003 再扫一次 08/17 06:32
96F:→ KarasuTW:>gjo3g0, bill055282, mo77, zhenn, cybuler代, wakai OK 08/17 06:37
97F:推 KarasuTW:>nessele, clandowater OK >lalilata:你中了其他病毒 08/17 06:40
98F:→ KarasuTW:>j大: 看来不是变种而是重复感染 -A-" 08/17 06:42
99F:→ KarasuTW:今天已经星期一了!大家有疑问的请先更新病毒码扫描系统 08/17 06:43
101F:→ junorn:K大不简单喔一个一个看冏... 我比较在意那个msword98.exe 08/17 09:02
102F:推 KarasuTW:下面有一个感染到很深层的 msword98 囧rz... 08/17 10:18
103F:推 KarasuTW:>emon945 ok >junorn 我只有看有没有清掉 SDbot 人太多 08/17 10:21
104F:→ junorn:连我公司上游厂商都一堆人中...不愧是科技公司XD 08/17 10:26
105F:→ junorn:回题,那个msword98.exe如果行的话看有没有办法弄到样本 08/17 10:27
106F:→ junorn:虽说确定是病毒不过想看看和这sdbot有没有关联. 08/17 10:27
107F:推 nessele:K大多谢 08/17 10:31
109F:→ killer0812:请帮忙看看 感激不尽 08/17 10:42
110F:推 KarasuTW:>killer0812 ok 08/17 10:51
111F:推 killer0812:谢谢!!以後不乱点了ORZ 08/17 10:52
113F:→ beautyghost:恳请帮忙确认,非常感谢 08/17 12:02
114F:推 emon945:非常感谢QQ 我以後会管好自己的手的T^T 08/17 12:30
117F:推 jimmy512041:谢谢J大 我的MSN也解决了 08/17 13:46
119F:→ choumingkai:不会缩往只在上面帮我看一下 谢谢 08/17 13:49
120F:→ junorn:越来越多msword98.exe了...看来是脱不了关系 08/17 13:53
121F:推 wincecarter:可以请k大帮我看一下,感激不尽 08/17 14:01
124F:→ vnsioh:请问这样有扫掉吗? 08/17 14:06
125F:→ vnsioh:用小红伞+AD-WARE都没扫到.. 08/17 14:07
※ 编辑: junorn 来自: 210.68.130.155 (08/17 14:15)
126F:推 mow123012:谢谢j大帮忙 我的msn已经解决了 感谢 08/17 14:23
127F:推 KillerDoll:今天同事MSN传讯息来,我没注意也点下去,中毒了 = = 08/17 14:45
129F:推 whatisuknow:你好,可以也帮我看一下吗 谢谢 08/17 14:49
131F:→ d0184225:请问上传到至底空间就完成了吗? 08/17 14:55
133F:→ d0184225:麻烦帮我看一下拜托 谢谢 08/17 15:05
136F:→ e1236699:请帮我看看 谢谢 08/17 16:23
138F:推 KarasuTW:> beautyghost, KillerDoll, whatisuknow, d0184225 OK 08/17 17:26
139F:→ KarasuTW:> Ertsy, e1236699, berrystar OK 08/17 17:27
140F:→ KarasuTW:>UTRAW,mow123012,choumingkai,wincecarter,vnsioh 重来 08/17 17:27
142F:推 beautyghost:谢谢k大,感激不尽 08/17 17:44
143F:推 Ertsy:谢谢J大 K大 真的感激不尽!!! 08/17 17:48
144F:推 KarasuTW:xxkevin,你中毒很深,请照置底求救文范本处理 08/17 17:49
145F:推 gjo3g0:感谢J大 K大!!! 08/17 18:21
149F:推 d0184225:感谢J大 K大 有你们真好 08/17 21:16
150F:推 mo77:非常感谢!!!!! 08/17 22:15
152F:推 zhenn:不好意思,我眼残,没看到K大已经回覆我OK了。K大谢谢你 08/17 22:28
※ qaws68:转录至看板 Viator94Ding 08/18 00:06
154F:→ sakuso:不好意思请帮我看一下,谢谢! 08/18 00:55
※ 编辑: junorn 来自: 59.112.81.235 (08/18 01:34)
156F:推 d0184225:就如同我18019篇所写的 拜托 请问一下 除了重灌以外 08/18 02:19
157F:→ d0184225:还有其他方法吗? 08/18 02:19
159F:→ robin7795:帮我看一下 谢谢大神!! 08/18 02:23
161F:推 nessele:代POhttp://sun.cis.scu.edu.tw/~92a39/upload/35931.txt 08/18 10:44
162F:→ nessele:麻烦J大帮我朋友看看 真是不好意思ˊˋ 08/18 10:45
164F:→ d0184225:因为还是没解毒 所以又重新做一次 麻烦 再帮我看一次 08/18 10:55
166F:→ htwu:但是MSN目前已经可以正常使用了 08/18 12:33
167F:→ htwu:我是昨天晚上中毒 中毒之後会一直开启很多人的msn对话视窗 08/18 12:35
168F:→ htwu:并且传送我所收到的连结给那些开启的对话视窗 08/18 12:36
170F:→ doroshin:请帮忙看一下!非常谢谢!!! 08/18 13:00
174F:推 linjj:C:\WINDOWS\system32\scrrun.dll 找不到 这样该怎麽办 08/18 18:58
176F:→ oldfatcat:还请帮忙看一下,感恩 ^^ 08/18 19:09
177F:推 smilemyself:j大k大 真是超强的 08/18 19:27
179F:→ qqyiya:做可是我看不懂麻烦了 08/18 22:36
182F:→ tclub17:可以也帮我看一下吗 太感谢你了!!!! 08/19 00:06
183F:推 joanne62028:是要贴上什麽东西阿?? 08/19 00:29
185F:→ joanne62028:帮我看看,感激不尽... 08/19 00:47
※ qaws68:转录至看板 MSNmessenger 08/19 03:09
188F:→ newbloody:请问是这样吗?麻烦帮我看一下感激不尽谢谢> < 08/19 03:16
190F:→ kukoky1123:可以帮忙看依下吗 谢谢 08/19 03:51
※ 编辑: junorn 来自: 210.68.130.155 (08/19 10:39)
192F:推 venis:感恩~~Q_Q 08/21 00:58
194F:→ ss10328:请帮忙看看 谢谢~~~~ 08/24 00:43
196F:→ a3eimyy:跑完以後登入还是不行 请帮忙看看 T皿T 谢谢 08/24 02:32
※ 编辑: junorn 来自: 61.216.82.232 (08/24 10:29)
197F:推 a6842684:感谢j大Q___Q 不会再乱传讯息了 08/27 00:07
--
我很低调滴
--
※ 发信站: 批踢踢实业坊(ptt.cc)
◆ From: 59.104.220.143