作者hoda (棒棒棒)
看板AntiVirus
標題[中毒]好像是筆記本病毒
時間Thu May 22 10:28:37 2008
1.問題描述:
電腦一打開就跑出一堆亂碼的筆記本,
然後開大部分的東西跳出來的也是亂碼筆記本。
2.掃毒結果:
按掃毒程式也是變亂碼筆記本,
也無法上網使用線上掃毒。
4.報告連結:
請將上傳的掃描報告(log)連結貼於下方 (全部都要)
Combofix :按下去變亂碼筆記本
Hijackthis:按下去變亂碼筆記本
SRENG :
http://kotuha.com/file/Bxe78-SREngLOG.html
掃毒報告 :按下去變亂碼筆記本
以上程序無法執行者請說明原因。
我爬過文,爬文的連結點了也是亂碼筆記本。
而也在知識家找過,用過FixBacalid和stinger-bacalid都沒有用,
版上有人會解這病毒嗎?
感謝!!!
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.195.1.8
※ 編輯: hoda 來自: 123.195.1.8 (05/22 10:29)
1F:推 junorn:你下載這個看能不能跑 05/22 10:34
3F:→ hoda:一樣先跳出亂碼筆記本,然後出現一個藍畫面的AutoScan,接下 05/22 10:40
4F:推 junorn:這麼狠喔..連.com都感染 05/22 10:42
5F:→ hoda:來出現程式錯誤按了確定,過一陣子跑出一個log記事本要貼嗎? 05/22 10:42
6F:推 junorn:要 05/22 10:44
9F:→ wkwtb:如果是的話,可能是檔案關連錯誤~~ 05/22 10:46
10F:推 junorn:有兩種可能,第一種是文件關連被改掉 05/22 10:47
11F:→ wkwtb:這是我手動用 notepad 開啟其他各種類型檔案的結果 05/22 10:47
12F:→ hoda:沒錯,就是樓上那樣的亂碼記事本。剛開機時還會跑出一堆 05/22 10:47
13F:→ junorn:第二種是檔案被感染。 05/22 10:47
14F:→ hoda:好像很嚴重,那還有救嗎? 謝謝幫忙!!! 05/22 10:49
15F:→ junorn:檔案被感染要靠防毒軟體去解,關連被改掉的話... 05/22 10:51
16F:→ junorn:你按開始 -> 執行 -> 輸入 %systemroot%\explorer.exe 05/22 10:52
17F:→ junorn:然後看會不會跳我的文件出來,或者一樣是亂碼視窗 05/22 10:52
18F:→ hoda:一樣跳出亂碼記事本˙˙ 05/22 10:54
19F:推 junorn:那應該是關連被修改掉了...730篇的流程跑一遍看看 05/22 10:55
20F:→ hoda:照前面步驟做完,點REGEDIT.EXE這個後一樣跳出亂碼記事本 05/22 11:00
21F:→ hoda:還有我連在執行列打cmd都是跳出亂碼記事本˙˙ 05/22 11:03
22F:→ junorn:那我的電腦開的起來嗎? 05/22 11:04
23F:→ hoda:可以 裡面的資料夾都打得開 05/22 11:06
24F:→ hoda:只是檔案點了都變亂碼記事本而已 05/22 11:07
25F:推 junorn:ok,那你到選項那邊將隱藏副檔名那邊取消掉 05/22 11:09
26F:→ junorn:取消之後將c:\windows\system32\cmd.exe複製到c:\windows 05/22 11:10
27F:→ junorn:底下,並將他改名為ktv.com 05/22 11:10
28F:→ junorn:然後按開始 -> 執行 -> 輸入 %systemroot%\ktv.com看看 05/22 11:10
29F:→ junorn:有沒有dos視窗出現 05/22 11:10
30F:→ hoda:它找不到除非我後面加.exe,不過這樣打開就又變亂碼記事本了 05/22 11:14
31F:推 junorn:找不到是指?執行後說找不到關連還是找不到cmd.exe? 05/22 11:16
32F:→ hoda:如果我只在執行列輸入%systemroot%\ktv.com會顯示找不到檔案 05/22 11:18
33F:→ hoda:而要是我變輸入%systemroot%\ktv.com.exe則就又變亂碼記事本 05/22 11:18
34F:推 junorn:你改名的時候副檔名有改嗎? 05/22 11:20
35F:→ junorn:阿算了我這邊直接給,節省時間 05/22 11:21
36F:→ hoda: 嗯嗯 不好意思麻煩你了 感謝 05/22 11:21
38F:→ junorn:下載到c:\ ,然後按開始 -> 執行 -> 輸入 c:\cmd.com看看 05/22 11:22
39F:→ junorn:ok的話你按assoc .exe之後按確定 05/22 11:24
40F:→ junorn:然後看一下顯示出來的是不是.exe=exefile 05/22 11:24
41F:→ hoda:出現dos畫面,我輸入assoc出現一堆文字但看到你打的那行 05/22 11:27
42F:推 junorn:assoc .exe 空白和.exe都要打 05/22 11:29
43F:→ hoda:哦哦 有了有了 05/22 11:30
44F:推 junorn:出現的名稱是.exe=exefile嗎? 05/22 11:30
45F:→ hoda:嗯嗯嗯 沒錯 05/22 11:32
46F:推 junorn:那你下載730那篇的檔案之後將他複製到c:\ 05/22 11:32
47F:→ junorn:然後先輸入下列文字 05/22 11:32
48F:→ junorn:copy /y %systemroot%\regedit.exe c:\regedit.com 05/22 11:33
49F:→ junorn:然後等他跑完後在輸入下列文字 05/22 11:33
50F:→ junorn:regedit /s 下載的名稱.reg 下載的名稱看你剛剛下載名稱叫 05/22 11:34
51F:→ junorn:什麼 05/22 11:34
52F:→ junorn:抱歉上面的更正一下,改為c:\regedit.com /s 下載的名稱.re 05/22 11:35
53F:→ junorn:g 05/22 11:35
54F:→ hoda:我輸入copy /y %systemroot%\regedit.exe c:\regedit.com這行 05/22 11:38
55F:→ hoda:時 顯示找不到 copy 05/22 11:38
56F:→ junorn:要在dos視窗底下做喔 05/22 11:38
57F:→ hoda:喔喔 謝謝 05/22 11:41
58F:→ hoda:對了 那下載的檔案有兩個所以要重複做兩次那步驟了喔 對吧 05/22 11:43
59F:推 junorn:嗯...都做吧,雖然兩個一樣的東西 05/22 11:43
60F:→ hoda:OK 完成了 然後呢?? 05/22 11:50
61F:推 junorn:重開機看看有沒有好轉。沒有就放棄吧 05/22 11:51
62F:→ hoda:......看來失敗了 打開一樣一堆亂碼記事本 05/22 11:54
63F:→ hoda:還是很謝謝你幫忙!! 謝謝~!! 05/22 11:54
64F:推 junorn:那就沒辦法了,應該是檔案被感染。只能靠防毒 05/22 11:55
65F:→ hoda:所以那台電腦只能傳灌的命運了喔 是嗎??? 05/22 11:56
66F:→ hoda: 重 05/22 11:57
67F:推 junorn:可能會比較快,不然光想要怎麼解會很久 05/22 11:58
68F:→ hoda:嗯嗯 好吧 只好告訴電腦主人這殘酷的事實了 謝啦 05/22 12:00
69F:推 polomoss:這問題超難搞的.....我碰過兩次~~無預警!!開機就變這樣@@ 05/24 00:43