[紧急求助]哇佬，中TROJAN了，救命呀！

KyleMichelleGo

今天去下载了一个CRACK，怎知大整蛊送来几只TROJAN给我，救命呀！

这是我第一次用NOD32来SCAN和CLEAN的结果：


这是我RESTART后再SCAN的结果：


DELETE不了怎么办呀？？（着急中。。。）因为那写着TROJAN DOWNLOADER，那我上线不是会每次自动下载TROJAN咯？

HELP~~~~~~~~~~~~~~~!怎办好？

（之前第一个结果的TROJAN我全按DELETE应该没问题吧？）

东风不破

哇！这么够力！一次过中那么多个！
连System Restore里面都有！

1。首先将Local Setting\Temp里的全部文件都删除！

2。开注册表,(Ctrl+R--> Type "Regedit"

    Mycomputer\HLM\Software\Microsoft\Windows\CurrentVersion\Run
    删除里面有疑的xxxx (通常是在C:\WINDOWS\system32\xxxx.exe)

    还有
    Mycomputer\HKU\Software\Microsoft\Windows\CurrentVersion\Run
    跟上面的方法一样

3。启动时按F8，然后选取安全模式。
    再用防毒软件扫描。(会比较慢，耐心等一下吧)

4。最后重新启动电脑，再扫描多一次。(双重确定)

如果还有的话，就再跟我讲过好了。
不过请注明那个病毒的名称！

jasonmun

应是少了个步骤..
在Scan之前,要关掉 "System Restore"..
(在My Computer -> 'click Right' -> Properties -> System Restore)

东风不破

jasonmun 于 22-7-2004 09:07 AM  说 :
应是少了个步骤..
在Scan之前,要关掉 "System Restore"..
(在My Computer -> 'click Right' -> Properties -> System Restore)

哈哈。。。
的确是少了一步！
谢谢Jasonmun的提醒！

因为我之前中过的木马是不会感染到System Restore的文件，
可是现在的病毒越出越厉害！

KyleMichelleGo

啊。。。。很深啦，看似懂非懂。。。

1.Local Setting\Temp 是 C:\WINDOWS\Temp 还是 C:\WINDOWS\Temp\Temporary Internet Files 里面的？

2.注册表是什么呀？ 我是电脑白痴啦。。。是REGISTRY EDITOR吗？

这是REGISTRY EDITOR里Mycomputer\HLM\Software\Microsoft\Windows\CurrentVersion\Run的画面


是不是第11个呀？C:\WINDOWS\system32\xmqwgt.exe ?

厄.....另一个你是说HCU吧？找不到HKU...........
这是Mycomputer\HCU\Software\Microsoft\Windows\CurrentVersion\Run的画面


只有一个C:\WINDOWS\system32\ctfmon.exe

这些都删除了，希望不会错吧？呵呵。。。

先试试看，不知还有没有命回来，哈哈！

非常感激你们的热心帮忙！真是电脑高手呀！！

和我一样是电脑白痴啊

哈哈

KyleMichelleGo

噢!终于搞定了!

非常感谢各位高手的帮忙。

（我的WINXP开不到SAFE MODE，我直接开机然后再SCAN和DELETE，然后再检查一次就完全被我消灭了，应该不用紧吧？--LOG IN不到WINDOW去，滑鼠动不了！）

东风不破

KyleMichelleGo 于 22-7-2004 01:42 PM  说 :
啊。。。。很深啦，看似懂非懂。。。

1.Local Setting\Temp 是 C:\WINDOWS\Temp 还是 C:\WINDOWS\Temp\Temporary Internet Files 里面的？

2.注册表是什么呀？ 我是电脑白痴啦。。。是REGISTRY EDITOR吗？ ...

1。三个都是可以删除的！(别整个删掉哦！只删除里面的文件)
     Local Setting\Temp真正的位置是在
     C:\Documents and Settings\＂User name＂\Local  Settings\Temp

2。注册表 = REGISTRY EDITOR

3。除了a-winpoet-service，DAEMON Tools，SoundMan之外，
    其他的都删掉。(你平时的开机和运行的速度肯定很慢咯！)

4。对！是HCU才对 ！不好意思搞错了！
     如果你有用STYLEXP的话，这个不用删了！

最后就是你电脑里有Adware，
如果要用Kazza的话，改用Kazza Lite吧！
Kazza里有很多Adware！

KyleMichelleGo

3。除了a-winpoet-service，DAEMON Tools，SoundMan

啊？剩这三个吗？

那么我的中文输入法IME删了会不会开机时，不会再自动出现了？

什么是RUNDLL?

[ Last edited by KyleMichelleGo on 22-7-2004 at 07:12 PM ]

东风不破

安装防火墙也是一个可以杜绝木马的侵入！
所以最好防毒软件和安装防火墙！
所谓双“防”其下嘛！

KyleMichelleGo

东风不破 于 22-7-2004 07:09 PM  说 :

安装防火墙也是一个可以杜绝木马的侵入！
所以最好防毒软件和安装防火墙！
所谓双“防”其下嘛！

防火墙要怎样安装？是否有好介绍？

我的NORTON已经UNINSTALL了。（本以为自己是高手能UPDATE最新版的，怎知弄巧反措了。。。现在两头不到岸，就用你介绍的NOD32了！）

东风不破

KyleMichelleGo 于 22-7-2004 07:07 PM  说 :

啊？剩这三个吗？

其他的都是只会拖慢电脑速度罢了还有浪费很多记忆体！
剩下的三个：
第一个是你上宽频用的。(我还没用这个，所以不敢乱乱叫你删)
第二个是DAEMON虚拟光碟用的。
第三个是英特尔内置音效的驱动器。

东风不破

KyleMichelleGo 于 22-7-2004 07:07 PM  说 :

啊？剩这三个吗？

那么我的中文输入法IME删了会不会开机时，不会再自动出现了？

什么是RUNDLL?

[ Last edited by KyleMichelleGo on 22-7-2004 at 07:12 PM ]

那个IME只需用ctfmon就可以了！
其他的都是垃圾！

你的Modem有用Bridge/router的吗？
如果有的话，请打开那个bridge.dll的Properties
查下看公司名是否是Modem的公司。
如果是的话就不可以删了！

东风不破

KyleMichelleGo 于 22-7-2004 07:15 PM  说 :

防火墙要怎样安装？是否有好介绍？

我的NORTON已经UNINSTALL了。（本以为自己是高手能UPDATE最新版的，怎知弄巧反措了。。。现在两头不到岸，就用你介绍的NOD32了！）

ZoneAlarm相当不错，不过对一般用户来说可能会比较难用！
去Download.com或中国网站找找看吧！
还有其他几个也不错！

KyleMichelleGo

东风不破 于 22-7-2004 07:26 PM  说 :



那个IME只需用ctfmon就可以了！
其他的都是垃圾！

你的Modem有用Bridge/router的吗？
如果有的话，请打开那个bridge.dll的Properties
查下看公司名是否是Modem的公 ...

-_-! ,你不早说。。。。我已经删除了bridge.dll了。。。。怎办好？（不过我没用ROUTER...应该没问题吧？）


我找不到ctfmon在哪里？

东风不破

不是在这里咯！


至于那个bridge.dll，如果你要用的话，就在注册表那里加回就可以咯！

KyleMichelleGo

哦。。。我还以为在HLM里。。呵呵！

还有一个问题！为什么HLM里的C:\WINDOWS\system32\xmqwgt.exe 一直会出现？我删除了再开启REGIDIT，结果还是会回来！连关启了System Restore还是一样。。。

东风不破

打开那个文件的Propeties看看是什么公司出版的？
如果你之前没安装过这间公司的软件的话，
那肯定是木马程式或Adware！

如果是的话，就在注册表里删，再到system32删除。

KyleMichelleGo

东风不破 于 22-7-2004 07:49 PM  说 :

打开那个文件的Propeties看看是什么公司出版的？
如果你之前没安装过这间公司的软件的话，
那肯定是木马程式或Adware！

如果是的话，就在注册表里删，再到system32删除。
...

PROPERTIES里写的制造时间是昨天，应该是CRACK文件里的木马吧！

可是我删除不到，出现这个提示：


需要不需要重新开机再试试看?

[ Last edited by KyleMichelleGo on 22-7-2004 at 07:58 PM ]

东风不破

那是因为你已开机时，它就自动运行，所以当然删不到咯！
删除在注册表里的xmqwgt.exe，
按Ctrl+Alt+Del ,在Proceess的Tab将那个xmqwgt.exe关掉！
然后到system32里删除就搞定了！