WinXP病毒入侵求救!

2011-09-28 11:38 pm
病毒狀況:
1.C、D、E、G糟都出現一個刪不掉的目錄"RECYCLER"
2.該目錄下都有一個刪了會再生的檔案"S- 1-5-21 -2025429265-1580436667-1801674531-500"
困擾:該病毒好像是間諜程式,經常大量傳輸資料(由ADSL傳輸情形得知),並因為如此而嚴重佔據電腦資源影響效能,幾乎就像電腦遭受綁架。

有請電腦高手解救(防毒軟體掃不到它)
更新1:

1.開機連線時間無異狀 2.開機預設開啟的程式只有防毒、印表機、USB、聲音、ADSL網路連線等 3.IE瀏覽記錄已刪、磁碟亦重組過 試過Key介紹的閃電殺毒手(也是顯示沒有病毒) ●症狀:工作中不定時的突然C硬碟一直運行,網路、工作中軟體按一個鍵都要等非常久才有回應,C硬碟如果沒有以上症狀發作,一切就正常。

更新2:

●之前安裝了一個英文版的族譜軟體(忘了名稱),我懷疑是它帶進病毒,所去查它安裝所在的目錄(RECYLER),立即解除安裝再回該目錄察看,結果發現剩一個檔案(如前述)未移除且無法刪除。真的D、E、D糟也都有且都刪不掉,但檔案名稱可以改,改了後會平靜最多一兩天,之後它會自動再新增同檔名的新檔案,如果檔案改名後,檔案即可刪,但立即會再出現一個原檔名的檔案。

更新3:

●後來上網查到了下列資料(因不甚熟悉,所以不敢試,因為檔名也不太一樣) Windows ME/XP 清除重點 若作業系統為Windows ME and XP 必須關閉系統回復以便執行趨勢防毒軟體完整掃瞄 步驟1: 重新開機到安全模式 步驟2: 刪除以下 registry 值 步驟1執行前,請先備份機碼,可參照 Microsoft article 文件中說明如何修改\備份電腦機碼

更新4:

* 先修改 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon o Taskman = ""C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe"" 步驟2: 刪除以下病毒產生的 registry 值: 1. 開啟Registry Editor,點選 開始>執行,輸入REGEDIT,輸入後按Enter鍵。

更新5:

2. 尋找以下位置 HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows NT>CurrentVersion>Winlogon 3. 在右測的面板,找到並刪除以下值: * Taskman = "C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe"" 4. 關閉 Registry Editor.

更新6:

步驟 3: 搜尋及刪除以下目錄 * C:\RECYCLER 步驟 4: 搜尋及刪除病毒產生的 AUTORUN.INF 檔案 [autorun] open=DRIVE\file.exe icon=%SystemRoot%\system32\SHELL32.dll,2 action=Open folder to view files shell\open=Open shell\open\command=DRIVE\file.exe shell\open\default=1

更新7:

步驟 5: 若作業系統為Windows ME and XP 必須關閉系統回復以便執行趨勢防毒軟體完整掃瞄 如果在安全模式,請先以正常開機,再執行下列solution請確認趨勢科技防毒軟體原件已更新至最新,並執行全機掃瞄並刪除被判對為病毒的檔案。

更新8:

該病毒的技術細節: 技術細節 感染病毒 這個病毒會建立下列目錄 * C:\RECYCLER * C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053 並將病毒複製到以下位置: * C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe 並且改變檔案屬性為 * 隱藏 * 唯讀 * 系統 自動啟動行為: 病毒會在下列位置存在已達到自動啟動能力 …

更新9:

回覆Din_King ( 專家 1 級 ): 感謝你給意見 終於有人知道這病毒 我也確認這是病毒 因為 我把該檔案檔名更改為"1" 它會平安無事 但幾天後它會再自動產生一個原檔名的檔案 然後就再開始發作 …我重複過很多次了

更新10:

回覆Din_King ( 專家 1 級 ): 現在的問題是 我發現的檔案只有一個 不是你所列的三個 而且檔名也不一樣 再者也沒有autorun.inf這個檔案的存在 我不知如何下手

更新11:

回覆Key ( 初學者 2 級 ): 照你的方法 但沒找到該檔 後來我在rededit內使用尋找功能 搜尋"S-1-5-21-2025429265"字串 倒找到一些線索 特別寄上 請幫我看看問題在哪

更新12:

檔案位址:http://www.sendspace.com/file/11b9fp

更新13:

回覆Key ( 初學者 2 級 ): 我搜尋的結果只有3個相關 請幫我檢視 檔案位址:http://www.sendspace.com/file/ihrn88

更新14:

回覆Key ( 初學者 2 級 ): 1.閃殺後,於前天有再度發作一次。 2.剛才試著去刪更名後的病毒檔,依舊立即又產生一個"S- 1-5-21 -2025429265-1580436667-1801674531-500"檔名的病毒檔,只好再將它更名為"1"。 3.看樣子好像只有重灌之路了?

更新15:

之前下載的軟體 應該就是GenoPro這個英文版的族譜軟體 但下載的位址己不復記憶

更新16:

好像是軟體王裡的第三個連結點。

回答 (10)

2011-09-29 4:11 am
✔ 最佳答案
拜託各位兩位別亂教人,那是資源回收筒,你該慶幸刪不掉,如果剛好你系統有異常刪掉了,你的磁碟槽也準備格式化了!
1. 懷疑大量傳輸封包,請問時間是多長?如果開機連線時間長,封包傳輸量當然大啊!2. 再來,你開機預設開啟的程式有多少?是否有不必要可以關閉別預設開啟的?
(1)開始>執行>輸入 msconfig > 啟動 檢查看看有沒有不必要開機啟動的程式,把勾選拿掉。3. 如果懷疑上網緩慢,那是否有清除過暫存檔?是否有做過檢查磁碟、磁碟重組?
(1)刪除 Temporary Internet Files 瀏覽歷程紀錄,相關IE對應版本請參考以下網址:
IE 6.0請參考:http://www.trendmicro.com.tw/solutionbank/2/details.asp?id=21359
IE 7.0請參考:http://www.trendmicro.com.tw/solutionbank/2/details.asp?id=20926
IE 8.0請參考:http://www.trendmicro.com.tw/solutionbank/2/details.asp?id=21863 (2)清除Temp資料夾:
請點選視窗左下角的【開始】(Vista、Win7的小圓球)並在【搜尋程式及檔案】的方框內輸入(%TEMP%)後按下【確定】按鈕,系統會開啟一個位於(Temp)資料夾的視窗,請將所有檔案及目錄刪除,若發生無法刪除的檔案時,請跳過無法刪除的檔案,繼續刪除以下所有的檔案。 (3)如何執行磁碟掃描及重組 ?
請參考網址:http://www.trendmicro.com.tw/solutionbank/2/details.asp?id=21033
如果上述的動作你真的都做過了,還是狀況一樣,那你試試看下面兩個病毒清除工具:1. 閃電殺毒手
http://cn.trendmicro.com/cn/mini/cleantool/index.html 2. 解毒快手iClean
http://www.trendmicro.com.tw/iclean/index.htm 網頁中都有相關使用教學跟下載點,下載後請重開機後按F8進到安全模式底下執行這些清毒程式。
最後還是要建議您時常更新 Windows Update,以及安裝防毒軟體,電腦也請定期清理磁碟以及重組,可疑檔案、連結、網站不隨意執行瀏覽,養成良好的電腦使用習慣病毒問題就很難找上門囉!

2011-10-06 09:27:38 補充:
不好意思,這陣子頗忙得沒出現。

這的確是垃圾桶,不是病毒!

但你已經找到病毒了!該病毒就是你所說的hdav.exe,它是在垃圾筒的目錄下。

要確認有沒有這個病毒,就是去看機碼有沒有 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Taskman = "C:\RECYCLER\S-1-5-21-8296890853-0316175189-441459350-7053\hdav.exe

有就是中了!這種病毒是蠕蟲型的病毒,會散播跟傳染,且會藏在卸除是設備中。因此要一次清除是一件頗大的工程

2011-10-06 09:32:42 補充:
要處理:

1. 機碼
2. 病毒檔案
3. 卸除式病毒

我確信的是趨勢防毒是可以正常清除這種病毒的,但你已經使用過清除工具的話,但你電腦中可以病毒已經清掉了,但我不確定你卸除式設備中還有沒有,建議你有空可以再插上掃描一次!

所以只剩機碼的部分,既然是病毒...,那幹嘛要改掉而已呢...

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon

下的 Taskman 刪掉,病毒就沒有指向性了,問題就不會再發生了。

2011-10-06 09:33:20 補充:
建議...如果有再回覆補充的話...,寄個信給我^ ^,這樣我會盡快來看~

2011-10-07 17:20:51 補充:
S-1-5-21-8296890853-0316175189-441459350-7053 這個是 SID 不一定會一樣,搜尋 Taskman、hdav 看看,有的話有可能是病毒,不確定的話,可以先備份機碼要刪掉,或是先做系統還原設定,以免誤砍系統機碼。

2011-10-08 20:42:48 補充:
三個都不是,你目前電腦應該是沒有問題了吧! 據我猜測該病毒原本是寫在系統預設八大機碼中!閃殺跟Iclean 都會主動去修復這八個,所以應該是直接修掉了。

2011-10-09 16:46:07 補充:
可以先提供你改成一個那一段機碼給我看看嗎,確定一下是不是可以刪除的
2015-03-11 8:09 am
●九州 娛樂 網站 http://ts777.cc
●●●運彩遊戲、真人遊戲、電子遊戲、對戰遊戲、對戰遊戲●●●

●新舊會員儲值就送500點

● 真人百家樂彩金等你拿

●線上影片直播、正妹圖、討論區免費註冊

歡迎免費體驗交流試玩!

●九州 娛樂 網站 http://ts777.cc
2014-10-25 9:44 pm
到下面的網址看看吧

▶▶http://qoozoo09260.pixnet.net/blog
2014-10-23 2:39 pm
到下面的網址看看吧

▶▶http://qoozoo09260.pixnet.net/blog
2011-10-02 11:00 am
我相信這會是你要的東西.

掃不到?

用錯防毒軟體怎會掃到...

2011-10-02 03:00:19 補充:
http://yangchunsanyue.blog.hexun.com.tw/38929642_d.html

2011-10-09 08:45:48 補充:
請你重開機過2次後再觀察看看.

如果問題依舊,我們要上Sreng+GIS報表了.

2011-10-09 18:55:13 補充:
http://www.asklaosan.com/laosan_answer_386.html

這應該是你要的一個原因之一.
2011-09-29 6:14 pm
1.請問有使用防毒嗎?如果沒有,可能是中毒機率蠻高的,如果是中毒建議電腦是否可以重灌,然後再使用我介紹的防毒試試看。
2.介紹你一套-江民防毒軟體是中文版本,操作很簡單,這套主要防/掃木馬,功能我使用覺得不錯,你可以先到http://www.jiangmin.com.tw/去下載安裝2011版,XP、VISTA甚至Windows 7作業系統都可以安裝使用沒有問題,2011版可以讓你整整免費試用一個月,如果電腦已經有四年以上,建議安裝2009版的比較順,也不會擔心帕被鎖住,你去下載使用看看,下載安裝軟體後,先去升級最新的病毒碼之後,再去掃毒一次,如果你使用一個月之後覺得不錯的話,建議你去買一套正版1年期990元或者3年1780元,直接註冊軟體不用重新安裝。
2011-09-29 3:52 am
還建議您 把隱藏檔案檢視功能開啟~
這樣病毒檔案 如果在隨身碟 有可能可以看見...(不一定能殺掉,但能知道病毒名稱。...)
2011-09-29 1:26 am
就是資源回收筒
你要不要查查是不是別的原因
2011-09-29 12:49 am
先弄清楚是垃圾桶還是病毒
2011-09-28 11:54 pm
安裝NOD32吧ˊ什麼小都掃的到,連下載的檔案有毒都會檔

或許這是正常的問題

不然就重灌電腦,格式全部磁碟

2011-09-28 15:57:10 補充:
或許系統自己產生出來的

2011-10-03 13:23:25 補充:
那個$#^$#^#只會出一張嘴
那種病毒只不過是模仿windows的文件
修改註冊表就註冊表嘛
什麼用錯防毒程式
但也警告發文者少去大陸下載檔案

nod32此防毒真的很有效

2011-10-09 20:49:43 補充:
看你找成這樣不如重灌,先刪出磁碟分割再合併格式化比較好

重灌是法則˙

2011-10-09 20:54:37 補充:
不然試試http://www.fileserve.com/file/Kft6Wqx/清理RECYCLER病毒文件.bat


收錄日期: 2021-04-27 19:04:50
原文連結 [永久失效]:
https://hk.answers.yahoo.com/question/index?qid=20110928000015KK03751

檢視 Wayback Machine 備份