如何人手清理木馬

[b]原始短消息:[/b] [url=http://www.8cyber.com/pm.php?action=view&folder=inbox&pmid=41671]help><[/url]
niP@ Z?SJ [quote]教我點用e個得唔得呀><
Gp&~6?!KC
|p+T$H}@"m [url]http://www.pctools.com/en/spyware-doctor/[/url][/quote]
,z1X s.~n8P!a 你先裝左佢/j8y'_ym&yc1O
之後會有個icon長註在右下角(即時鐘位置果度)作為保護唔再俾新既木馬入侵。不過之前中左既就冇計, 要人手清除。
&}`+b+G#VN 打開spyware doctor中先更新病毒程式IITWe7c
之後就scan，scan完之後會彈出一個box指你中左幾多木馬
0H8y1tKd4fI ro 等級是以高中低3層去列出
6vv"}aJ;DLylK 一般會有好多低層cookie的木馬 (呢個只要清除晒d cookies同暫存檔理論上已清得七七八八)
eb#j_Vpw 中層果d多數係一d廣告軟體，即係好似flashget，Real player果類。清理方法同高層方式差不多。%f&U9~!fx+W&^

t8aUI}FIu
c(P{ ` 清理方式如下：5|8iH5| ^:V5w\OF
首先你在掃瞄完個報告box中會見到病毒存在之位置，；即係果條link
"f g~HO,^8ba u 由於試用版或免費版是只會scan，不會clean，所以要一條條path去人手清除
]@du*Hs*X2?|D 如果見到是 C:\Document & setting..... 之類既，就直接入去果個directory去DELv;lB2Rlc#~%J:@0m*[U
見到 HKCU\.... 之類既，咁就在執行中打上Regedit（註冊表），進入註冊表內人手刪除。
4}3Zg&FF/ibU 刪除好晒再SCAN一次看看是否CLEAN UP晒。　是的話你第一初已完成。u"er#Ai Se
i$e#BW2V
接下來是ｒｅｂｏｏｔ及再ｓｃａｎ一次。原因是有ｄ木馬會在ｒｅｂｏｏｔ時再重新繁植，如果ｓｃａｎ之後又再出現，恭喜你，你將有機會進入第２部份殺毒的工序。z{%vp/[@;H.|P
s^BBhD
第２部份係點？你試左第一部份先，唔得先再問吧。

如果網頁被綁, 可用以下之檔去解

hoster 是用於一些線上掃毒之網站被木馬block時作解禁之用6`*cO:k0I4P
**** Hidden Message *****

我刪晒佢scan完出黎果d啦,,,不詔有一個搵唔到o係邊=﹏=c$R,|.dS
Gz-Trp;a$v*H

_&w TGm+a4^!Ou 同埋,,,個木馬E然o係度==

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 01:00 PM 發表
#^F~E+S+?z)N@%] @ b 我刪晒佢scan完出黎果d啦,,,不詔有一個搵唔到o係邊=﹏=P}$\ R.x#[

|C1?6| U6wI(W(D
b5s$\
i%n x0qg2yN 同埋,,,個木馬E然o係度== [/quote]
7d6`:rix)v7G@ 貼個圖出黎睇下

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 01:08 PM 發表 Y2{ rP
v

xF,E|tv'M Hp+? 貼個圖出黎睇下 [/quote]
D-u i"sg 貼邊個==?
FE)K0[\
Tr3\.C 7De9`Q`k7D
果個木馬?
N @J tW s
e E5H,W!h6R.b

&N+N)fO[j-Hy&Q8C2a [img]http://img140.imageshack.us/img140/3861/001tg9.png[/img] lDl6H;ZHnm
+p3A"l,YE+I
L+|TlV6S
%U P:GRjE
[img]http://img140.imageshack.us/img140/7725/002jv8.gif[/img]

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 01:17 PM 發表
0Y?4C)@2{y{_,Zb!a
Qm+U:LRh8jN 貼邊個==?
;p;U7ShGF P9h0O&f*Y(Yuu8a
果個木馬?
Y1D
y!U#? RkH O ~G RB'e
H:S/p|0mJBh O%B
[img]http://img140.imageshack.us/img140/3861/001tg9.png[/img] w.xk?x8A

6_0qai,j q)f_~$V

*m `"Yp;}4{9K*cM [img]http://img140.imageshack.us/img140/7725/002jv8.gif[/img] [/quote]
;r5I)zA-\'aG{"w 在檔案總管中先set顯示隱藏檔8O h)bw@
yiBT
再入 c:\windows 內找出beweakb.dat的檔案進行徹底的刪除 M.f-Xn0Z&ln5l}{\)n
同時入regedit去search beweakb.dat, 將所有含有這個檔的機碼全部刪除, 應有好幾個, 要search到最尾/{IxKv9V
另外在search過程中看看有沒有一些與beweakb.dat相關之跟源病毒, 通常隱藏在 c:\System Volume Information 之內的sub-folder

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 01:25 PM 發表
4GC{)Glfgm{_ L|-BQL4\0O1aw
在檔案總管中先set顯示隱藏檔g0m*Y5j$Da:w3M,j
再入 c:\windows 內找出beweakb.dat的檔案進行徹底的刪除
YR j(W+rr 同時入regedit去search beweakb.dat, 將所有含有這個檔的機碼全部刪除, 應有好幾個, 要search到最尾,NQl$a SJ }.D
另外在search過程 ... [/quote] fYTw z
pkc3Jd
不如....你VNC幫我整><

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 01:34 PM 發表
YGpmWT0C7H2E
V.}6JY(s4I!j t 不如....你VNC幫我整>< [/quote]
bc;O0?o(O'KS$F%o 你又要刪毒,又唔想郁手,都係洗機乾手淨腳xd

[quote]原帖由 [i]KION[/i] 於 2006-8-7 09:35 PM 發表ag9~D;{#V6g

dt$f?/H*u4?
f 你又要刪毒,又唔想郁手,都係洗機乾手淨腳xd [/quote] vb%i0@]R
無錯....懶人最好做法-.-

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 01:34 PM 發表
I$I sDW:sT,H 0l8a#\$Of6` i
不如....你VNC幫我整>< [/quote]
%WTNV`%v%U;C3j 你已中毒, 用vnc分分鐘傳埋俾接上你部機既人, 風險太大了 :em24:
?#m9Hj;KC'{ 所以自己動手吧!

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 01:38 PM 發表
KC] h-B
g7vz
2R!pO#H%nHHd 你已中毒, 用vnc分分鐘傳埋俾接上你部機既人, 風險太大了 :em24:
WEe8ZBo\rT 所以自己動手吧! [/quote]
0w.[Jqu2I2~&U 我係搵唔到,,,ORZ
rZ*c%Z-}2@c
v
NogS CTRL+F 都搵唔到= =

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-7 09:38 PM 發表%?{!D/k)U1Kn D ^


_(gr3V,F2{:~ 你已中毒, 用vnc分分鐘傳埋俾接上你部機既人, 風險太大了 :em24:7x,~g+y Ix9[}z
所以自己動手吧! [/quote]
I
M
q0lN7bRB^;_3h 哈哈,咁又係,一陣自己都中招就orz

[quote]原帖由 [i]KION[/i] 於 2006-8-8 01:35 PM 發表
h6?)x:lpv!Tc[Q @?#J nc4dj
你又要刪毒,又唔想郁手,都係洗機乾手淨腳xd [/quote]f4C0v IV n5v$m
我幾時有話詔我唔想郁手呀,,,
3E2L*Z6]/_ 1G*p7m0gN6^M
我自己都搵左好耐,,,咁搵唔到我可以點喎,,,,,

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-7 09:41 PM 發表q3R;smF.FA,A4?
5}6_;z IB f
我幾時有話詔我唔想郁手呀,,,YO"l Vy1I%M7o0g
s3n!{;Co!Ja*D0T!C
我自己都搵左好耐,,,咁搵唔到我可以點喎,,,,, [/quote]aV/{
LS
洗機最簡單....乜都唔洗理-.-

[quote]原帖由 [i]angus[/i] 於 2006-8-8 01:41 PM 發表
0ury#H9ay7r.hy v#\t8]~eL4[@
洗機最簡單....乜都唔洗理-.- [/quote]
pNZ'^)RIi$gN 痴線,,,,大把野唔刪得,,,

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-7 09:42 PM 發表
s(q#qr0gOW8U,E
n#plsu0RS ^u 痴線,,,,大把野唔刪得,,, [/quote];D(WHLL"M$o{ N
咁你一係拎去比人整架者
L[&d
J-S 再唔係你繼續與木馬為伍吧

[quote]原帖由 [i]angus[/i] 於 2006-8-8 01:47 PM 發表
DB,f:r.t;L3Y*^e 2zb5K8t;ke
咁你一係拎去比人整架者
*y0MVL;Tg N 再唔係你繼續興木馬為伍吧 [/quote]
4f_.T1do_ 我冇所謂架,,,,$s0DS&JqL"D1b%{
@[7ky-fU
係我媽勁煩姐,,,

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 01:40 PM 發表
l'X6Q
A:MMB-Rj (uBppX.zF7e
我係搵唔到,,,ORZ
5j6V8?f!l#{q
,u*S7yft)rz#V CTRL+F 都搵唔到= = [/quote]0vK @!A2A3b+Bi,~.U
regedit裹面搵唔搵到?)ZvK*eS}
仲有, 你set左唔hide d 隱藏檔未, 未set係search唔到的...

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 01:49 PM 發表
{#F!?S'}QA` \#x
.~:I(|Hm1xmG/|:c regedit裹面搵唔搵到? [/quote]XM4b ^Tx;VFv

,b%ed!X2vb*y regedit搵唔到-0-
8\{*yc c7P
` o;{&A`:R m^3tnA 同埋,,,我去唔到E度,,,,一樣就話"存取被拒" M}0pfhFG8g"s6`#v

;i)E{j9T
i1~.|Z c:\System Volume Information

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 01:50 PM 發表
8\3Zmd#?C ^A5q1j.z#w u
;M(B5Ws9kf
regedit搵唔到-0-L/fV-S]
E0j;Y`
J8C ZT3s;xij!m
同埋,,,我去唔到E度,,,,一樣就話"存取被拒"eK8[.Sl%|-S]8?9[
|{U
g*N^g
c:\System Volume Information [/quote]
[
e`F}6]?[#OZ 你在regedit內 search System Volume Information *nlQGx ma
看看有冇一d sub-folder 在c:\System Volume Information之內
,iH
i(z!j5YP0F 因為c:\System Volume Information你係入唔到去, 不過sub folder就可以7jt$u+z
q aHUu
如果d sub-folder內有 d reg檔或dll檔, 好多時個種就係藏係呢度再不斷復製病毒出黎的
;IU%I'}+@f$M+@WZ 不過小心, 有d一刪錯就.....:em28:

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 01:53 PM 發表
(EM&s0yE#w(n].H y,L|'I'{v2L
你在regedit內 search System Volume Information 9p0L*~:e;AJ
看看有冇一d sub-folder 在c:\System Volume Information之內 ud&P{/Qd!H;h$N(W/y
因為c:\System Volume Information你係入唔到去, 不過sub folder就可以
][rS9F 如果d sub-folder內有 ... [/quote]
Pcm:x"@ 搵到E度囉-0-"""

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 02:01 PM 發表,} ^ Q$qT.K;W"Co
3cJ'OCZ:b
搵到E度囉-0-""" [/quote]
A+~1U3hky,F 繼續searchl6R)pEEa*W9k
呢個機碼係因為你之前去search而留下的, 不是病毒所在地

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 02:04 PM 發表
:`p
s7hlw Mc~2MY5K;e]}
繼續search

WX3I7k+x 呢個機碼係因為你之前去search而留下的, 不是病毒所在地 [/quote]@ BT qCWg
第二次,,,,,)g3dwM5`1`8[

,Z4M"|-{ ~z2M5Y-V*J 咁樣-0-

show晒條path出黎gF&Y!B3{ KU)T
呢個好似係, 不過要看清楚d

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 02:07 PM 發表
jPf5Z&pp#G show晒條path出黎6zE#S3`a
`'Zr c
呢個好似係, 不過要看清楚d [/quote]
,\5c4?)^R\%Sm 姐係咁-0-?

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 02:08 PM 發表
9p"@!w7CZ M O4C}z#Lz)K$S/x(o/O$K
姐係咁-0-? [/quote]
k#^i!N(i)rB3V R _restore後面睇唔到......P8ACcjQ2H
double click, copy條path出黎

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 02:18 PM 發表v3^2jJ| by
yw8}
w)e!J)W7\-?
_restore後面睇唔到......
,x/Y^I7iD.F double click, copy條path出黎 [/quote],P)A NmQ0\ h
姐係第幾條-0-?a)c2]p2t!kJ[

n-Yo'sB,ChC LEE個??)eN g go+L%|*l
3v&elu'Wsd
\System Volume Information\_restore{250990E0-6882-4845-9175-2211B2773C57}\* /s:Q{e8Ql"Z

H0v#?m;T6An Mo} [[i] 本帖最後由 癲地。小程程 於 2006-8-8 02:31 PM 編輯 [/i]]

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 02:29 PM 發表o4Reh\6j(W,B
%O}zz[&i~
姐係第幾條-0-?
$V:h*G\Bh3y;I^ `X ]9q*Nis Su$q
LEE個??
Rn%E`#L,@F
Gi k4fI5d w
\System Volume Information\_restore{250990E0-6882-4845-9175-2211B2773C57}\* /s [/quote]
9W-?2p$FxA4nA 這條不是病毒, 再search落去

[quote]原帖由 [i]高橋啟介[/i] 於 2006-8-8 02:33 PM 發表s](h]e-r \v-`0Y
Z s5_??
這條不是病毒, 再search落去 [/quote]7PYOz4{Z%u'N
y
冇啦喎-0-
f%m.fab1z]s'@ (aZq*P_&M
搵左幾次都係,,,

[quote]原帖由 [i]癲地。小程程[/i] 於 2006-8-8 02:40 PM 發表
t7^WuO#pe v9x;X(g4`]2~
冇啦喎-0-
F
iYAh0[ i G %\#vTg"`?6bG
搵左幾次都係,,, [/quote]d4iJ k2l-Q.e$@
即係你已確定左一個位置(regedit)係安全既DQ"NH0p)T{
接下來就是要del埋個木馬
P.A6L:e&Z6A^Q 試下用safe mode 去搵隻木馬
/r.j3bq` 再唔係去nod32個sitedownload 一個kill 木馬既file去clean up
FU,Iv"f file 名就係你之前中果個病毒名