網際論壇 - 寬頻使用 / 防毒防駭討論 - [求助]諾頓抓到Trojan Horse中毒檔案無法刪除
» 遊客:  註冊 | 登錄 | 會員 | 幫助
 

免費線上小說
動漫分類 : 最新上架熱門連載全本小說最新上架玄幻奇幻都市言情武俠仙俠軍事歷史網游競技科幻靈異 ... 更多小說

作者:
標題: [求助]諾頓抓到Trojan Horse中毒檔案無法刪除 上一主題 | 下一主題
  baolai
  VIP會員 
 


 
  積分 2747
  發文 164
  註冊 2006-9-5
  來自 Taipei
  狀態 離線
#1  [求助]諾頓抓到Trojan Horse中毒檔案無法刪除

諾頓防毒抓到下列病毒路徑及檔名(如下圖)
C:\Windows\Temp\svcipa.exe
C:\DOCUME~1\bn_103\LOCALS~1\TEMPOR~1\CONTENT.IE5\U42HZPS0\96280C~1
C:\DOCUME~1\bn_103\LOCALS~1\TEMPOR~1\CONTENT.IE5\S1E7OTI3\96280C~1



諾頓抓到後,把它們都隔離了,我有到隔離區去把病毒刪除了。

可是很奇怪在下列的兩個路徑出現了一些dll檔案
C:\DOCUME~1\bn_103\LOCALS~1\TEMP\
IMGA.tmp
n9p4lt.dll(只要點這個檔刪除它就出現下圖無法刪除存取被拒...而且會產生上面的IMGA.tmp)
9x.dll(這個檔是可刪除,可是每次重新進入Temp資料夾它又會復活)


C:\Windows\Temp\
tmp00005635(這是資料夾也出現無法刪除存取被拒同上視窗)
n9p4lt.dll(這個可以刪除,可是每次重新開機進入Windows它又會復活)



我在安全模式下把上述檔案及tmp0000....資料夾刪除,只有
C:\DOCUME~1\bn_103\LOCALS~1\TEMP\n9p4lt.dll(無法刪除存取被拒)

另法:啟用XPE(光碟)方式進入,是可以把上述把上述所有檔案及tmp0000....資料夾完全刪除

可是重新開機進入Windows XP後,這些檔案及資料夾全都復活了!
懇請諸位高手幫忙,除了重灌外,要如何解決呢?

[ Last edited by baolai on 2007-8-23 at 01:43 PM ]





歡迎光臨寶來的紅色天葵子部落格


2007-8-23 01:40 PM
查看資料  訪問主頁  發短消息   編輯文章  引用回覆
  神影者
  一般會員 
 



  積分 428
  發文 92
  註冊 2007-1-30
  狀態 離線
#2  

建議你使用強制刪檔工具,例如KillBox或費爾強力移除

他會復活主要是因為寄主程式仍然存在你的電腦,甚至寄生在其他磁區

查殺病毒.木馬並不容易,需要時間和耐心

建議你先搜尋其他磁區有無svcipa.exe,此執行檔應為寄主程式

在搜尋的同時,記得點選"搜尋選項>>"將裡頭的進階選項打勾

接著將: 搜尋系統資料夾
           搜尋隱藏的檔案和資料夾   >>>>>>>將此三項打勾
           搜尋子資料夾

然後利用強制刪檔工具刪除,全部刪除後在重新開機

如果你會使用DOS那更好,直接利用可以讀取NTFS檔案版本的DOS直接殺毒


2007-9-14 11:38 AM
查看資料  發短消息   編輯文章  引用回覆
  sun678
  高級會員 
 



  積分 9889
  發文 1434
  註冊 2005-9-6
  狀態 離線
#3  

不需要用IE瀏覽器的線上掃毒Ewido Online Scanner(免安裝)試試看
對不起下載已刪只好請用搜尋Ewido Online Scanner找


2007-9-27 08:14 PM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  tkjh_10168
  中級會員 
 


  積分 1436
  發文 166
  註冊 2006-5-18
  來自 22世紀
  狀態 離線
#4  

別用諾頓了
沒效果
改用NOD32會比較好喔




圈圈乂乂
2007-10-5 11:04 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  王耕宏
  一般會員 
 


  積分 464
  發文 83
  註冊 2006-10-6
  來自 台北
  狀態 離線
#5  

或者使用瑞星卡卡2008很難移掉的木馬都能殺掉

2007-12-26 12:06 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆
  as780611as
  一般會員 
 



  積分 529
  發文 96
  註冊 2008-5-28
  狀態 離線
#6  

先找病毒的登錄值刪除試試看,按regedit搜尋該檔名
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
去這兩個登錄值找找看也可以


2008-9-9 07:37 AM
查看資料  發送郵件  發短消息   編輯文章  引用回覆

可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題

論壇跳轉選單: