作者et1783 ()
看板CMU_M52
標題[轉錄]Re: [求救] 中了MSN的毒= =
時間Thu Aug 27 12:24:35 2009
※ [本文轉錄自 AntiVirus 看板]
作者: junorn (威廉華勒斯) 看板: AntiVirus
標題: Re: [求救] 中了MSN的毒= =
時間: Fri Aug 14 16:10:25 2009
複製底下**符號行到**符號行之間所有文字不包含*號
*******************************************
move file::
c:\windows\client.exe
C:\Windows\msupdate32.exe
C:\WINDOWS\livemessenger.com
c:\windows\system32\msword98.exe
C:\WINDOWS\mslsrv32.exe
C:\WINDOWS\msnmsg.exe
mod reg::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Client"=-
"Windows Update Service"=-
"Microsoft Update"=-
"msword98"=-
"Regedit32"=-
"Microsoft Driver Setup"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Client"=-
"Windows Update Service"=-
"Microsoft Update"=-
"msword98"=-
"Microsoft Driver Setup"=-
reboot::
********************************************
複製之後下載EFix
http://reinfors.blogspot.com/
下載到桌面之後執行
等執行到出現一個視窗標題叫script gui的時候
在那個視窗中間空白可以輸入文字的地方按右鍵選貼上
確認你貼上的內容和你複製的內容一樣之後按下方的scan按鈕等他跑完
跑完之後就連msn看看還會不會亂傳網址
還是會的話將掃描報告傳到置底空間連結後貼上來
不會就不用了.
並使用新版和更新病毒碼至完整狀態的防毒軟體作全機掃瞄.
--
長路如淡夢 無盡空嘆息
月光照亮我心房 野花輕搖指前路
過失之痛滿胸中
抬手長自撫 願能將其拂
欲言又止萬千語 化作葉兒染愛色
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 210.68.130.155
2F:→ junorn:恩好了這樣就可以了 08/14 16:43
3F:推 StaurusW:真的嗎!? 那我還需要再改密碼嗎? 08/14 16:49
4F:→ StaurusW:請問 "C:\ef_backup\Backup\c\WINDOWS\client.exe.vir" 08/14 16:52
5F:→ StaurusW:這個檔要刪除嗎? 剛剛用PANDA掃描換成這個有問題 08/14 16:53
8F:→ junorn:那個就是EFix幫你刪除的c:\windows\client.exe,刪掉就好 08/14 17:06
9F:→ junorn:密碼能改就改. 08/14 17:07
10F:推 StaurusW:嗯嗯 感謝你的幫忙 08/14 18:24
11F:推 smilemyself:大推大推喔喔喔喔喔喔超厲害的謝謝你 08/14 23:34
13F:→ johnlu:我用NOD32 avadare 都說很健康 08/15 00:30
14F:→ johnlu:網友用德國小紅傘+木馬大師2009都沒事 08/15 00:31
15F:推 smilemyself:我又中毒了可以去看依下18088的文章嗎?? 08/15 00:55
16F:推 h000ya:你好 我今天也不小心中這個毒了...QQ 用這個方法之後登入 08/15 01:20
17F:→ h000ya:還是有一樣的問題耶.... 請問能教教我怎麼辦嗎? 08/15 01:20
18F:→ h000ya:我完全看不懂 那些程式英文 所以也沒辦法用上一篇的方法解 08/15 01:21
19F:推 KarasuTW:>johnlu 請用 VirusTotal, Jotti's malware scan 等服務 08/15 03:31
20F:→ johnlu:K大所以這是最新MSN病毒服務 08/15 03:38
21F:→ johnlu:如果把那兩個Client拿掉的話是否就解決 08/15 03:38
22F:→ johnlu:h大你因為啟動有執行到client記得不要執行或者先刪除 08/15 03:41
23F:→ johnlu:顯示 BackDoor.IRC.Sdbot.5130 08/15 03:43
24F:推 KarasuTW:VirusTotal 和 Jotti's 是線上單檔掃描程式,可測試多個 08/15 03:56
25F:→ KarasuTW:防毒軟體… SDBot 是蠻有歷史的後門程式了,這次用的方法 08/15 03:56
26F:→ KarasuTW:很低調不易事前偵測... 過幾天應該大家都能防了 08/15 03:57
27F:推 faris1003:J大推一個,我果然還是不擅長解釋...=.= 08/15 09:00
28F:→ johnlu:因為檔案屬性很怪+檔案再重開機會顯示是否執行 08/15 09:03
29F:→ johnlu:我使用PCtools防火+NOD32試用.問我是否執行.我按取消後 08/15 09:05
30F:→ johnlu:又再一次.在跑去Msconfig發現啟動怪怪的.去找檔案位置 08/15 09:05
31F:→ johnlu:才發現檔案屬性.會大意中招.因為跟對方當時還在聊天MSN 08/15 09:06
32F:→ johnlu:一點也沒有那種無名者一丟就跑的狀況 08/15 09:06
33F:→ johnlu:所以很難防備.+上點開後整個電腦變的超慢LAG 08/15 09:06
34F:→ johnlu:才注意到他在啟動IUI裡面自我安裝兩次都在\windows\ 08/15 09:07
35F:→ johnlu:沒事把啟動IUI清理得太乾淨果然被看出來 08/15 09:07
36F:推 h000ya:我開網頁之後很白痴的按了執行....我現在應該怎麼做@@ 08/15 12:39
37F:推 h000ya:用小紅傘掃毒能解決嗎 我的電腦裡裝的是這個 08/15 12:53
38F:→ johnlu:h大你也中獎看得懂我的圖嗎.知識+說紅傘找不到 08/15 14:28
39F:→ johnlu:我在第一封有貼40的線上只有5個找到後門木馬 08/15 14:29
40F:推 h000ya:對不起...我看不懂....那我可以用你這篇貼的方法嗎? 08/15 17:20
41F:推 KarasuTW:這一篇或 #1AXbNp3D 的試試看,SDBot 持續變種中... 08/15 17:57
※ 編輯: junorn 來自: 61.216.80.103 (08/15 22:03)
※ 編輯: junorn 來自: 61.216.80.103 (08/15 22:06)
42F:推 h000ya:如果掃完的LOG檔顯示沒有刪除任何檔案 就表示失敗是嗎? 08/15 22:27
※ 編輯: junorn 來自: 61.216.80.103 (08/15 22:42)
43F:推 paying02:請問一下 我用了你的方法 他說沒有刪除任和檔案 這樣 08/16 01:08
44F:→ paying02:是好了嗎 謝謝 08/16 01:09
45F:→ KarasuTW:如果是剛按到就跑過來的人,這個毒要重開機才會安裝... 08/16 01:18
46F:→ KarasuTW:所以重開機後套用這個腳本才會有效 08/16 01:18
47F:推 ajpomelo:這招很有用!!!感恩我解掉了XD 08/16 02:02
48F:推 abatw:推 幫兩個同學解決了:D 08/16 10:12
49F:推 cd00739283:感謝感謝~終於清掉了~差點就要重灌了XD 08/16 10:50
51F:→ GinHan:沒有刪除client 不過上線好像沒有亂傳東西 08/16 14:21
52F:→ GinHan:只刪掉一個 怕怕的 謝謝 08/16 14:23
53F:→ KarasuTW:>GinHan 沒有問題 08/16 14:37
54F:推 GinHan:感謝~~ 08/16 14:39
※ 編輯: junorn 來自: 61.216.80.103 (08/16 20:08)
58F:推 KarasuTW:樓上三個都 OK... 08/16 21:12
59F:推 icejoseph:請問 置底的空間是指? 08/16 21:25
60F:→ littlblac:跟樓上的疑問一樣.... 08/16 21:27
63F:推 KarasuTW:>cybuler 請把 C:\Windows 改成 E:\Windows 再來一次 08/16 22:24
64F:推 KarasuTW:>killualee OK... 08/16 22:26
65F:推 killualee:謝謝!! 08/16 22:29
67F:推 jimmy512041:把LOG傳到至底空間 什麼意思? 08/16 22:48
68F:推 AQmike:請問一下 如果我只有點連結 沒按下載 這樣會中嗎?? 08/16 22:49
69F:→ AQmike:我問我朋友它們都說我沒有傳給他們連結 這樣就是沒中嗎? 08/16 22:51
70F:推 amber0806:感謝~ 08/16 22:54
72F:推 zhenn:把LOG傳到至底空間 什麼意思? 08/16 23:10
74F:→ MAHORA:上面這個是置底上傳空間 08/16 23:11
75F:→ MAHORA:把最底下的[公告] 求救文,發文前須知!【必看!】看一下 08/16 23:12
76F:推 zhenn:上傳完成就代表ok了嗎? 08/16 23:13
85F:→ wakai:幫忙一下 拜託 08/17 00:25
87F:→ nessele:不好意思 也拜託幫我看一下Q Q 被這個病毒弄得好煩=兒= 08/17 02:06
88F:推 Aaronko:太感謝了~成功 08/17 02:14
90F:推 kevinlcsf:重開機過後用腳本 沒有刪除任何檔案 也沒有傳網址給別人 08/17 02:48
91F:→ kevinlcsf:這樣是ok的嗎.. 08/17 02:48
93F:推 KarasuTW:又變種啦 J 大 OTL... 08/17 06:13
94F:推 KarasuTW:>cybuler 你可能有中別的病毒,請照求救文範例另外發文 08/17 06:25
95F:推 KarasuTW:> ALLPASS2003 再掃一次 08/17 06:32
96F:→ KarasuTW:>gjo3g0, bill055282, mo77, zhenn, cybuler代, wakai OK 08/17 06:37
97F:推 KarasuTW:>nessele, clandowater OK >lalilata:你中了其他病毒 08/17 06:40
98F:→ KarasuTW:>j大: 看來不是變種而是重複感染 -A-" 08/17 06:42
99F:→ KarasuTW:今天已經星期一了!大家有疑問的請先更新病毒碼掃描系統 08/17 06:43
101F:→ junorn:K大不簡單喔一個一個看冏... 我比較在意那個msword98.exe 08/17 09:02
102F:推 KarasuTW:下面有一個感染到很深層的 msword98 囧rz... 08/17 10:18
103F:推 KarasuTW:>emon945 ok >junorn 我只有看有沒有清掉 SDbot 人太多 08/17 10:21
104F:→ junorn:連我公司上游廠商都一堆人中...不愧是科技公司XD 08/17 10:26
105F:→ junorn:回題,那個msword98.exe如果行的話看有沒有辦法弄到樣本 08/17 10:27
106F:→ junorn:雖說確定是病毒不過想看看和這sdbot有沒有關聯. 08/17 10:27
107F:推 nessele:K大多謝 08/17 10:31
109F:→ killer0812:請幫忙看看 感激不盡 08/17 10:42
110F:推 KarasuTW:>killer0812 ok 08/17 10:51
111F:推 killer0812:謝謝!!以後不亂點了ORZ 08/17 10:52
113F:→ beautyghost:懇請幫忙確認,非常感謝 08/17 12:02
114F:推 emon945:非常感謝QQ 我以後會管好自己的手的T^T 08/17 12:30
117F:推 jimmy512041:謝謝J大 我的MSN也解決了 08/17 13:46
119F:→ choumingkai:不會縮往只在上面幫我看一下 謝謝 08/17 13:49
120F:→ junorn:越來越多msword98.exe了...看來是脫不了關係 08/17 13:53
121F:推 wincecarter:可以請k大幫我看一下,感激不盡 08/17 14:01
124F:→ vnsioh:請問這樣有掃掉嗎? 08/17 14:06
125F:→ vnsioh:用小紅傘+AD-WARE都沒掃到.. 08/17 14:07
※ 編輯: junorn 來自: 210.68.130.155 (08/17 14:15)
126F:推 mow123012:謝謝j大幫忙 我的msn已經解決了 感謝 08/17 14:23
127F:推 KillerDoll:今天同事MSN傳訊息來,我沒注意也點下去,中毒了 = = 08/17 14:45
129F:推 whatisuknow:你好,可以也幫我看一下嗎 謝謝 08/17 14:49
131F:→ d0184225:請問上傳到至底空間就完成了嗎? 08/17 14:55
133F:→ d0184225:麻煩幫我看一下拜託 謝謝 08/17 15:05
136F:→ e1236699:請幫我看看 謝謝 08/17 16:23
138F:推 KarasuTW:> beautyghost, KillerDoll, whatisuknow, d0184225 OK 08/17 17:26
139F:→ KarasuTW:> Ertsy, e1236699, berrystar OK 08/17 17:27
140F:→ KarasuTW:>UTRAW,mow123012,choumingkai,wincecarter,vnsioh 重來 08/17 17:27
142F:推 beautyghost:謝謝k大,感激不盡 08/17 17:44
143F:推 Ertsy:謝謝J大 K大 真的感激不盡!!! 08/17 17:48
144F:推 KarasuTW:xxkevin,你中毒很深,請照置底求救文範本處理 08/17 17:49
145F:推 gjo3g0:感謝J大 K大!!! 08/17 18:21
149F:推 d0184225:感謝J大 K大 有你們真好 08/17 21:16
150F:推 mo77:非常感謝!!!!! 08/17 22:15
152F:推 zhenn:不好意思,我眼殘,沒看到K大已經回覆我OK了。K大謝謝你 08/17 22:28
※ qaws68:轉錄至看板 Viator94Ding 08/18 00:06
154F:→ sakuso:不好意思請幫我看一下,謝謝! 08/18 00:55
※ 編輯: junorn 來自: 59.112.81.235 (08/18 01:34)
156F:推 d0184225:就如同我18019篇所寫的 拜託 請問一下 除了重灌以外 08/18 02:19
157F:→ d0184225:還有其他方法嗎? 08/18 02:19
159F:→ robin7795:幫我看一下 謝謝大神!! 08/18 02:23
161F:推 nessele:代POhttp://sun.cis.scu.edu.tw/~92a39/upload/35931.txt 08/18 10:44
162F:→ nessele:麻煩J大幫我朋友看看 真是不好意思ˊˋ 08/18 10:45
164F:→ d0184225:因為還是沒解毒 所以又重新做一次 麻煩 再幫我看一次 08/18 10:55
166F:→ htwu:但是MSN目前已經可以正常使用了 08/18 12:33
167F:→ htwu:我是昨天晚上中毒 中毒之後會一直開啟很多人的msn對話視窗 08/18 12:35
168F:→ htwu:並且傳送我所收到的連結給那些開啟的對話視窗 08/18 12:36
170F:→ doroshin:請幫忙看一下!非常謝謝!!! 08/18 13:00
174F:推 linjj:C:\WINDOWS\system32\scrrun.dll 找不到 這樣該怎麼辦 08/18 18:58
176F:→ oldfatcat:還請幫忙看一下,感恩 ^^ 08/18 19:09
177F:推 smilemyself:j大k大 真是超強的 08/18 19:27
179F:→ qqyiya:做可是我看不懂麻煩了 08/18 22:36
182F:→ tclub17:可以也幫我看一下嗎 太感謝你了!!!! 08/19 00:06
183F:推 joanne62028:是要貼上什麼東西阿?? 08/19 00:29
185F:→ joanne62028:幫我看看,感激不盡... 08/19 00:47
※ qaws68:轉錄至看板 MSNmessenger 08/19 03:09
188F:→ newbloody:請問是這樣嗎?麻煩幫我看一下感激不盡謝謝> < 08/19 03:16
190F:→ kukoky1123:可以幫忙看依下嗎 謝謝 08/19 03:51
※ 編輯: junorn 來自: 210.68.130.155 (08/19 10:39)
192F:推 venis:感恩~~Q_Q 08/21 00:58
194F:→ ss10328:請幫忙看看 謝謝~~~~ 08/24 00:43
196F:→ a3eimyy:跑完以後登入還是不行 請幫忙看看 T皿T 謝謝 08/24 02:32
※ 編輯: junorn 來自: 61.216.82.232 (08/24 10:29)
197F:推 a6842684:感謝j大Q___Q 不會再亂傳訊息了 08/27 00:07
--
我很低調滴
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 59.104.220.143