北大电脑病毒讨论区- 减少病毒入侵电脑的机会 - 第6页#133

ahboy09

如何找你呢，大哥？

tomato101

不能恢复原来的模样吗？

NgSzeyin2005

原帖由 ahboy09 于 16-10-2007 11:12 PM 发表
如何找你呢，大哥？

我不是大哥，搞不好和你同年罢了。。。
可以来YAB，或者faculty。

NgSzeyin2005

原帖由 tomato101 于 16-10-2007 11:20 PM 发表
不能恢复原来的模样吗？

你可以right click那个folder，选择properties，在General选择Advanced，把Compress or Encrypt attributes里Compress contents to save disk space的勾取消掉，然后OK。

乌龟王八蛋^-^

我也是yab的。。。。我可以来找你吗???
yab那里呢？？不如你pm我看。。。。

deagle-lim

原帖由 NgSzeyin2005 于 16-10-2007 09:32 PM 发表

你试试在C:\WINDOWS\system32再在show operating system files把勾取消。
如果再不行，你试试打开notepad，把以下的code拷贝进去，然后save as "xxx.bat"，然后double click。
（我还没试过，不知行不行。要 ...

每個文件都attrib -s -a -r -h比較好
還有在這之前taskkill /im kav0.exe /f
taskkill應該是醬寫
很久沒用了 忘記了

NgSzeyin2005

原帖由 乌龟王八蛋^-^ 于 17-10-2007 12:56 PM 发表
我也是yab的。。。。我可以来找你吗???
yab那里呢？？不如你pm我看。。。。

YAB Portion C 456号房。
我明晚回去，后天早上到，一直到考完试才回。

tianxing

小小病毒。到现在还没解决????

tian6666622

Trojan HorsePSW.OnlineGames.FCV
这个病毒我中了很久

现在又中Trojan HorsePSW Generi5.SPK 是一样的吗

tian6666622

楼主我照你的方法了
可是打了kavo却找不到任何文件
但我还是照着你的话把那个0改去1
后来hidden file出来了
我也找不到ntdelect 和 autorun

如图



为什么呢 我也是中了trojan地

NgSzeyin2005

原帖由 tianxing 于 19-10-2007 01:10 AM 发表
小小病毒。到现在还没解决????

你不要酱多话讲，我问你的java问题你还没解决！

NgSzeyin2005

原帖由 tian6666622 于 19-10-2007 10:58 PM 发表
楼主我照你的方法了
可是打了kavo却找不到任何文件
但我还是照着你的话把那个0改去1
后来hidden file出来了
我也找不到ntdelect 和 autorun

如图

http://img522.imageshack.us/img522/1061/viruskg7 ...

你去每个Drive寻找ntdelect和autorun的时候，确定已经把show hidden file给打勾，还有don't show operating system files不要打勾了吗？
你确定kavo完全清除了吗？

NgSzeyin2005

这是deagle_lim网友提供的意见，能够减少病毒入侵电脑的机会，写在这里谢谢他。这次我不放太多图了，怕你们乱。

1. 关掉removable drive的autorun menu。

a) 打开Start Menu，选择Run，键入“gpedit.msc”，按Ok。
b) 在Local Computer Policy\Computer Configuration\AdministrativeTemplates\System，你会看到Turn OffAutoplay。双击它就会跳出下图。在Turnoff Autoplay on那里选择All drives，Enabled它，然后OK。

c) 另外，插入一支干净的Pendrive，打开My Computer，右键它，选择Properties，然后选择Autoplay，确保Action是“Prompt meeach time to choose an action”。如下图。


2. 用folder來防止autorun.inf寫入pendrive

create一个New Folder，把它命名为Autorun.inf，然后放在pendrive首页。
再新增一个folder，名字就放abc，然后把它拖进Autorun.inf里。


3. 用address bar來打開pendrive
用address bar来开pendrive虽不能说是万无一失，但比双击、右键打开还安全。如下图 :
[img]http://www.photoleech.com/images/1192886114_UdpWSm41S7bSAuq.jpg[img]

4. 用batch檔殺autorun.inf
把一下紫色的code抄进notepad里，然后save as “xxx.bat”（名字随便写，后面一定要.bat）。
当你中了Autorun病毒时，双击这个file，它会帮你清洗所有硬盘的Autorun.inf。

@echoon
taskkill /imexplorer.exe /f
taskkill /imwscript.exe
start reg addHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /vShowSuperHidden /t REG_DWORD /d 1 /f
start reg importkill.reg
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
del m:\autorun.* /f /q /as
del n:\autorun.* /f /q /as
del o:\autorun.* /f /q /as
del p:\autorun.* /f /q /as
del q:\autorun.* /f /q /as
del r:\autorun.* /f /q /as
del s:\autorun.* /f /q /as
del t:\autorun.* /f /q /as
del u:\autorun.* /f /q /as
del v:\autorun.* /f /q /as
del w:\autorun.* /f /q /as
del x:\autorun.* /f /q /as
del y:\autorun.* /f /q /as
del z:\autorun.* /f /q /as
start explorer.exe


5. 恢復病毒常鎖的功能
同样也是要把以下青色的code抄进notepad，然后save as “xxx.reg”（名字随便写，后面要加.reg）。
当病毒入侵电脑后，可能导致电脑的folder option不见掉，task manager开不到，run不见掉，
hiddenfiles不能show，regedit不能打开等等。这时就双击这个file就能打开了。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoFolderOptions"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"Start_ShowRun"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]"CheckedValue"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]"DefaultValue"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"ShowSuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]"SuperHidden"=dword:00000000
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
"DisableCMD"=dword:00000000


6. 删除各个partition的autorun.inf
在NTFS格式硬盘中(多数的C Drive和D Drive都是NTFS的，有些人则用FAT32)，打开Notepad，把以下蓝色的code拷贝进去，然后save as “Autorun.bat”。

@echo off
set /p s="请输入你要免疫的盘的盘符（按回车确认）"
md %s%:\autorun.inf
md %s%:\autorun.inf\病毒免疫...\
attrib +a +s +h +r %s%:\autorun.inf
echo y|cacls %s%:\autorun.inf /d everyone


在此多谢deagle_lim网友的建议！



[ 本帖最后由 NgSzeyin2005 于 26-6-2008 07:47 PM 编辑 ]

tian6666622

原帖由 NgSzeyin2005 于 20-10-2007 07:50 AM 发表

你去每个Drive寻找ntdelect和autorun的时候，确定已经把show hidden file给打勾，还有don't show operating system files不要打勾了吗？
你确定kavo完全清除了吗？

我是在find那边找“kavo”却一个也找不到

后来只在C drive那边也找不到autorun和ntdelect( ntldr 就有一个）后来在system32也找不到你写的两个kavo


今天病毒更厉害了 不断黑了我home page，但我就破解了几次又攻击我

还有c drive 不能双击了，得right click再按open才能开

我就照着你一样方法来弄，现在找到了autorun.inf可是还没找到kavo的

但我一online。。。就中了trojan horse叻 c drive依然不能双击打开

[ 本帖最后由 tian6666622 于 20-10-2007 10:50 PM 编辑 ]

NgSzeyin2005

原帖由 tian6666622 于 20-10-2007 10:31 PM 发表




我是在find那边找“kavo”却一个也找不到

后来只在C drive那边也找不到autorun和ntdelect( ntldr 就有一个）后来在system32也找不到你写的两个kavo


今天病毒更厉害了 不断黑了我home page，但我 ...

你确定是中了Trojan.OnlineGames吗？
你住哪里的？介意给我看一下吗？

bb熊

请问。。这有用吗？



@echo off
echo 正在清除系統垃圾文件，請稍等......
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.gid
del /f /s /q %systemdrive%\*.chk
del /f /s /q %systemdrive%\*.old
del /f /s /q %systemdrive%\recycled\*.*
del /f /s /q %windir%\*.bak
del /f /s /q %windir%\prefetch\*.*
rd /s /q %windir%\temp & md %windir%\temp
del /f /q %userprofile%\cookies\*.*
del /f /q %userprofile%\recent\*.*
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
echo 清除系統垃圾完成！
echo. & pause

开你的notepad..然后copy and paste以上的进去你的notepad..
然后按file=> save as.. (放在destop)
name放 "清除系統垃圾.bat"

弄好了就去destop double click它..它就会自动跑了..

NgSzeyin2005

原帖由 bb熊 于 21-10-2007 12:42 AM 发表
请问。。这有用吗？



@echo off
echo 正在清除系統垃圾文件，請稍等......
del /f /s /q %systemdrive%\*.tmp
del /f /s /q %systemdrive%\*._mp
del /f /s /q %systemdrive%\*.gid
del /f /s /q %s ...

这是清除internet的temporary files，cookies和电脑的垃圾文件等等。

[ 本帖最后由 NgSzeyin2005 于 21-10-2007 01:11 AM 编辑 ]

空心

可是当我要save file事会出现。。。
this file contains in Unicode format which will be lost if u save this file as an ANSI encoded text file....

NgSzeyin2005

原帖由 空心 于 21-10-2007 01:37 AM 发表
可是当我要save file事会出现。。。
this file contains in Unicode format which will be lost if u save this file as an ANSI encoded text file....

它的名字换成英文字看看，随便写都行，后面还是要加.bat。

fish_logtran

原帖由 <i>NgSzeyin2005</i> 于 20-10-2007 09:12 PM 发表 <a href="http://chinese4.cari.com.my/myforum/redirect.php?goto=findpost&pid=34354315&ptid=996239" target="_blank"><img src="http://chinese4.cari.com.my/myforum/images/common/back.gif" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open(this.src);}" onmousewheel="return imgzoom(this);" alt="" /></a><br />
这是deagle_lim网友提供的意见，能够减少病毒入侵电脑的机会，写在这里谢谢他。这次我不放太多图了，怕你们乱。<img src="images/smilies/loveliness.gif" smilieid="56" border="0" alt="" /> <img src="images/smilies/loveliness.gif" smilieid="56" border="0" alt="" /> <img src="images/smilies/loveliness.gif" smilieid="56" border="0" alt="" /><br />
<br />
1. 关掉removable drive的autorun menu。<br />
http://w ...

<br />







我试了regedit得方法，但是不能。
还是一样。。。会不会中毒太深。