SOGO論壇

標題: TSPY_ONLINE.EOD60從開病毒解決方式 [列印本頁]

作者: 松鼠翔 時間: 2009-6-6 13:21:10 標題: TSPY_ONLINE.EOD60從開病毒解決方式

中毒檔案 C:\WINDOWS\Debug\62D4F8F5DDAC.dll

出現症狀:

無法開啟檔案總管的搜尋功能，無法看事件檢視器的內容，網路完全斷掉，無法設定 TCP/IP

會出現RPC 伺服器錯誤，倒數60秒後重新開機

重新開機後，系統啟動速度極慢，停留在"Windows正在啟動中"10分鐘以上，會出現svchost.exe 錯誤

解決方法:
1.先在沒有中毒的PC上面寫依各簡單的批次檔內容"shutdown -a " 放到MIS必備隨身碟中,這是因為要暫時解決60秒關機訊息

2.再中毒的PC上面,到安全模式下面(會等一段時間),進入後就先把隨身碟插入吧
如果有出現60秒關機,就趕緊執行一下小批次檔讓此訊息關閉

刪除

C:\WINDOWS\Debug\62D4F8F5DDAC.exe
C:\WINDOWS\Debug\62D4F8F5DDAC.dll
C:\WINDOWS\AVP.EXE , C:\WINDOWS\system32\od3mdi.dll(這2個是基本的病毒檔會造成WINSCOK問題)

刪除機瑪

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VGADown

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks | {7F7A1EDD-E15E-41ED-AA85-06EA55C7E13A}

我發現會造成60秒關機的訊息是可能是因為RpcLocator這各服務的機碼被修改
將下面的粗體文字複製起來存成.REG 然後匯入

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcLocator\Enum]
"0"="Root\\LEGACY_RPCLOCATOR\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

再來就是重新開機. , 將病毒碼更新,完整掃瞄一次

作者: 006018 時間: 2009-6-11 14:07:05

之前有這個困擾
從灌救好了

《本帖最後由 006018 於 2009-6-12 14:17 編輯》

歡迎光臨 SOGO論壇 (https://oursogo.com/)