在下述事件發生前一天,我的電腦似有spyware進駐,開機後會看見一個小視窗裡面有一個WEB SEARCH按鈕及輸入欄位,打開工作管理員程式會發現有個程式名叫DESKTOP.EXE,但奇怪的是該程式所在目錄無法刪除(即便結束程式執行),在REGISTRY的RUN機碼的資料值會看到DESKTOP.EXE,奇怪的是該機碼的資料值也無法刪除,MICROSOFT ANTISPYWARE有偵查這SPYWARE但也無法刪除,我好不容易刪除後開機即不在見這小視窗(裡面有一個WEB SEARCH按鈕及輸入欄位),打開工作管理員程式也不再發現這個程式DESKTOP.EXE,但之後上網後每隔10~20分就會自動打開IE,而IE的網址不外如下這幾個 http://adv.eblocs.com/spyblocs/adv/admed_006.html http://www9.paypopup.com/belnk/belnk.htm http://www.virushunter.com/?nats=NzIyMDozOjE http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions http://www.loadingwebsite.com/normal/yyy34.html(最常見) http://www.9ringtone.com/tw/index.php(最常見) 請問這是中毒還是spyware進駐我的電腦?我要如何處理呢?因為用MICROSOFT ANTISPYWARE去偵查並無發現任何SPYWARE ?

漏寫一個網址http://e.rn11.com/a/a369-ovc720spi,這網址的內容大意是我的電腦有一危險的間諜軟體,要掃瞄把它找出來嗎,上面還有一個UPDATE按鈕.

引言: 漏寫一個網址http://e.rn11.com/a/a369-ovc720spi,這網址的內容大意是我的電腦有一危險的間諜軟體,要掃瞄把它找出來嗎,上面還有一個UPDATE按鈕.

正常的spyware是不會主動打開IE的, 如果你是用一些FREE或來路不明的spyware有可能是偽裝的, 而按你的狀況十分有可能是被惡意的植入後門程式(backdoor)或蠕蟲(worm), 建議你找幾套偵測regisitry的工具如魔法兔子, netspeed, noaward都是針對不同型態的backdoor進行修正 以上至 www.softking.com.tw都可以找的到都有試用版 或者上 http://www.pandasoftware.com.tw/freescan/activescan.htm 可以幫你檢查你電腦的狀況(這是free的, 但無法解, 至少你可以知道目前情況) 但有一點要注意, 每一種檢查工具一定都有其強調的部份, 也有其忽略的地方, 舉例來說, 上面的free檢查網站查我的電腦會發生一個infact是award類型, 可是用其他如pccillin, notorn, macfee都查不出來, 因此不要只相信一種, 多用幾種來進行交叉檢查是比較好的

修改註冊表的惡意代碼，大家肯定都見過了，手裡也有一兩樣對付的工具。    但是，最近有一種化妝成 BHO(Browser Helper Objects) 的惡意代碼出現了，現有的殺毒軟體和防火牆以及反木馬軟體好像不能對付，(誰發現了能對付這種代碼的殺毒軟體，告訴我哦！)，下面的資料是部分是我的經驗，部分資料是從網際網路上搜索來得，算是一個解決方案吧。    電腦現象：電腦打開網頁時，自動彈出一個叫什麼「女生宿舍」的網頁。    基本分析：我有屏蔽彈出廣告和保護註冊表的軟體，而且防火牆和殺毒軟體沒有報警，所以基本上可以肯定不是簡單的註冊表修改，估計病毒是偽裝成什麼合法的組件修改了註冊表。    通過網際網路搜索，知道這種惡意代碼是偽裝成 BHO 感染註冊表的。    解決方案：    運行註冊表工具，切換到：    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects    鍵值下，發現有四個 BHO 助手 ID 號，已知的有兩個 GOOGLE 工具條和 FLASHGET 的。還有兩個未知。複製這四個 ID 到記事本內，以便查找，把鍵值切換到：    HKEY_CLASSES_ROOT    下，點編輯->查找，在查找項目(僅選擇項)中分別鍵入這幾個 ID 分別查找，將找到的 CLSID 項展中，雙擊左則的 InprocServer32，右邊默認中將會顯示出這個 CLSID 對應的 DLL 文件位置和名稱，分別記錄下來。    查找完後，只有一個 DLL 文件：Navihelper.dll (和 GOOGLE 工具條沒有關係)比較陌生，於是進入windows\system32 下找到這個文件，查看其屬性中並沒有寫明公司名稱及版權，初步確定就是這個 DLL 搗的鬼。用 UltraEdit 打開此 DLL，搜索 http://，發現了兩個網址：    http://bar.iebar8.com/host.dat http://www.netscape.com/newsref/std/小甜餅_spec.html    及一個 \host.dat 的字符串，在同一目錄下找到 host.dat，用 UltraEdit 打開一看，http://www.139love.com 就在其中，確認 NaviHelper.dll 就是罪魁禍首！    原理分析：此 DLL 為 IE 的助手(BHO)，打開 IE 時會自動從網站下載需要顯示的廣告，將其保存在host.dat(數據庫：This file contains an SQLite 2.1 database)中，根據數據庫設置進行顯示，其數據庫下載地址為：http://bar.iebar8.com/host.dat，之前之所以...    處理方法：開始>運行 輸入：regsvr32 NaviHelper.dll -u 然後重新啟動計算機，再到 system32 下刪除NaviHelper.dll 及 Host.dat 文件即可。使用XP安裝了SP2的朋友可以直接在 IE 的加載項管理中將NaviHelperObj Class 禁用就 OK。    提醒大家，這種惡意代碼是不是傳統意義上的修改註冊表，它把自己偽裝成 BHO，普通的註冊表保護軟體無效；因為它只是感染註冊表，所以也不是傳統意義上的病毒，殺毒軟體也無效；它是利用你的瀏覽器端口下載數據，估計反木馬軟體也無效。建議大家監視HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects 並觀察相關 CLSID 的指向的 DLL 是否正常，必要時可以使用 UltraEdit 打開 DLL，搜索是否含有 http:// 字符串。如果是病毒 DLL，立即刪除，如果發現 Windows 保護 DLL，可以使用 regsvr32 動態鏈接庫名字 -u 的命令行註銷這個 DLL，重起後刪除。    參考看看吧!!        ==================================== 生命的目的，在幻化出多采多姿的組合。 生活的意義，在捕捉住稍縱即逝的感動。 ====================================

------
-------------------------------------------------------------------------
走是為了到另一境界，停是為了欣賞人生；未走過千山萬水，怎知生命的虛實與輕重！？

P.D.你好: 你介紹的魔法兔子蠻好用,想問你一下這軟體是不是大陸那邊開發得,問這問題是以前瀏覽大陸的網站常有被植入spyware的經驗,所以對大陸的軟體總是有戒心,不過這軟體便宜功能多(雖沒解決我的問題,每隔10~15分打開IE網址大部份是http://www.9ringtone.com/tw/index.php,http://www.loadingwebsite.com/normal/yyy34.html,http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions )我非常喜愛,有買的衝動,所以才慎重其事得問你軟體得出處.

㊣ 你好及P.D.你好: 若我的問題一直無法解決,用GHOST軟體來備份之前的正常檔案目錄,然後還原之前的正常檔案目錄,這方法可行嗎?GHOST軟體在備份時是否會把登錄檔(REGISTRY)一起備份呢?

引言: ㊣ 你好及P.D.你好: 若我的問題一直無法解決,用GHOST軟體來備份之前的正常檔案目錄,然後還原之前的正常檔案目錄,這方法可行嗎?GHOST軟體在備份時是否會把登錄檔(REGISTRY)一起備份呢?

你應該是中了廣告病毒.它已改了你的登錄檔.現在ghost沒用了. 若之前有ghost,可以ghost回去

㊣你好: 我若中了廣告病毒,現在我有什麼方法解決呢?

我的第一篇回應有Po出來ㄚ.... 你試試吧...

------
-------------------------------------------------------------------------
走是為了到另一境界，停是為了欣賞人生；未走過千山萬水，怎知生命的虛實與輕重！？

引言: 我的第一篇回應有Po出來ㄚ.... 你試試吧...

㊣你好: 我有照你說的去做,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects底下沒發現什麼 ? 在HKEY_CLASSES_ROOT底下也找不到Navihelper.dll,後來上網找到一專殺廣告病毒的軟體AD-Aware SE,在PENICILLIN 2005及MS ANTISPYWARE都找不到的情形下,這軟體居然找出90物件(有FILES,REGISTRY KEY 或REGISTRY VALUE),並有系統分成6大家族病毒,然後我把90物件通通殺掉,再SCAN一次又找到兩隻又殺掉,再SCAN一次沒發現任何可識別的物件,至此我的電腦終於正常不在每隔10~15分就打開IE連接到特定網球址,在此之前我用,魔法兔子,MS ANTISPYWARE,PENICILLIN 2005 SCAN結果都報告正常,但打字至此我的IE又被打開好像還是有遺漏,不過這軟體可免費試用,大家不妨用看看.

您是中了Look2ME啦！ 參考http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087441,00.htm 解決方式請下載： http://www.majorgeeks.com/download4166.html 台灣 Delphi 俱樂部
PostgreSQL、FastReport專業討論區
http://www.delphi.club.tw

------
台灣 Delphi 俱樂部 

PostgreSQL、FastReport專業討論區

http://www.delphi.club.tw

引言: ㊣ 你好及P.D.你好: 若我的問題一直無法解決,用GHOST軟體來備份之前的正常檔案目錄,然後還原之前的正常檔案目錄,這方法可行嗎?GHOST軟體在備份時是否會把登錄檔(REGISTRY)一起備份呢?

這套的確是對岸所開發的(不只這套, 其實很多這類的都是, 似乎這類技術在那邊比較純熟), 如果你不放心改用其他地區開發也可以, 只是這套我用過覺得還不錯, 至於是否為spyware, 我曾用其他很多來輔助交叉檢查, 至於都沒有跡象顯示這是一套spyware(但我不保證哦!), 我是這樣想啦! 畢竟對岸還是有真正想研發的團隊! 至於ghost 是無法備份檔案的, 如果你在未植入前ghost整個partition下來, 那現在回復是可行, 但現在已被植入再ghost還是連spyware都進入了, 所以還是找一些反spyware先移除看看, 如果試過都無效那就建議你重灌了! 祝好運

這幾天用了許多抗病毒軟體或反間諜軟體,將其結果整理一下,供大家參考 1.penicillin 2005,每次都無法找到我中的病毒軟體或間諜軟體. 2.norton antivirus有效找到我中的病毒軟體adware.look2me(找到47個),但似乎仍有遺漏,故問題仍無解決. 3.Ad-Aware.exe(有中文介面),每次都有找到中的病毒或間諜軟體,但似乎仍有遺漏,故問題仍無解決. 4.microsoft anti_spyware,有時會有時不會找到中的病毒或間諜軟體,但似乎仍有遺漏,故問題仍無解決. 5.stinger.exe,無法找到我中的病毒軟體或間諜軟體. 6.Super_Rabbit_Magic_Set.exe,無法找到我中的病毒軟體或間諜軟體. 7.counterspy.exe,ssfsetup555_1793493914.exe,STOPzilla_Setup.bat,wwsetup555_1793493914.exe,這幾個軟體是在同一網頁下載,每次都有找到中的病毒且把問題給解決,因為我的電腦不在每隔10分鐘就自動打開IE,尤其STOPzilla似乎有效攔截並顯示當自動打開IE時所連到的網址,由於這幾個軟體非免費,所以用了一兩天後我就退掉這幾個軟體,一退掉這幾個軟體自動打開IE的問題又發生了,即使我有penicillin 2005,norton antivirus,microsoft anti_spyware這幾個軟體在保護,當然我還有測試其他的軟體只是可能沒解決我的問題,所以沒特別提出來,

我想可能只有重安裝才能解決這問題,若之前我電腦正常時有用ghost備份在用ghost備份回來可解決這問題嗎?我的c:\windows就有2.5G那麼大,C:\PROGRAM FILES也有1.5G,用ghost備份容易嗎?回存回來容易嗎?

引言: 我想可能只有重安裝才能解決這問題,若之前我電腦正常時有用ghost備份在用ghost備份回來可解決這問題嗎?我的c:\windows就有2.5G那麼大,C:\PROGRAM FILES也有1.5G,用ghost備份容易嗎?回存回來容易嗎?

你要看的不是file的大小, 而是看原ghost的大小, 我做下來的ghost c碟有4.3G, 實際window的大小有15G, 如果你確認之前GHOST的沒有問題, 當然回去也沒有問題, 甚至你回不同顆硬碟也沒問題, 當然ghost從發展至今版本太多了, 有些支援ntfs, 早期有些可以備份ntfs但無法還原ntfs, 要看你之前用的是那一種! 如果你真的不放心(按上文來看, 你真的很擔心回來有問題), 那很簡單, 找一顆與原來相當的HD, 先回到那裡後看看有沒有問題, 沒有的話再回到原本那顆, 至於如何回, 如何切, 不在本文主題中, 這也一言難盡, 先試試看吧!

我補充中毒這幾天奇怪現象(我的IE有安裝GOOGLE及YAHOO的工具列) 1.當我在GOOGLE或YAHOO的工具列的輸入欄位輸入要查詢的關鍵字後按搜尋鈕後,我的IE會自動打開,新打開IE的網址列是 http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions 這網頁也類似一個可搜尋資料的網頁,它有一個輸入欄位(是輸入要查詢的關鍵字),旁邊有一個搜尋鈕,而你在GOOGLE或YAHOO輸入欄位輸入要查詢的關鍵字也出現在這網頁的輸入欄位,也就是說在中毒期間在GOOGLE或YAHOO輸入欄位輸入要查詢的關鍵字後按搜尋鈕後,會打開兩個IE,一個IE內容是GOOGLE或YAHOO的搜尋結果,另一個IE內容是這網址http://www.spotresults.com/cgi-bin/search.cgi?keywords=auctions, 2.很奇怪是從2005/04/21下午起似乎沒有中毒的狀況再發生,我自己也不知是那個軟體幫了忙,但能確定中的毒是廣告病毒ADWARE.LOOK2ME.

感謝 ry_lee 提供一些實戰經驗給我們分享, 不過我想這個版面的討論已經很明確了, 應該可以結束這次的討論, 要不然可能沒完沒了! ry_lee兄不要介意哦!