回首頁

   網路測試台灣寛頻      網路測試Giga   圖片下戴網路測試     亞太網路測試   網路連線速度

即時防護
「即時防護」發現病毒、間諜程式或其他安全風險，並已執行指定的中毒處理行動。

.
已採取的中毒處理行動： 無法清除檔案中的病毒，且無法刪除中毒檔案。
.
受感染檔案： C:\WINDOWS\system32\dumprepx.dll
病毒或惡意程式名稱： Possible_Infostl
使用者名稱： stu23
注意：您可以按「下一頁」，以檢視其他已掃瞄到的病毒、間諜程式或其他安全風險的處理結果。（

怎麼把這病毒刪除掉呢？ （個人經驗，不一定完全正確喔！）

(操作環境：Windows XP)

1.按下開始 / 執行/ 輸入 regedit



2.出現「登錄編輯程式」的視窗



找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，

再找到「Userinit」這名稱，滑鼠點擊兩下，將它的值最後面多出來的「c:Program......svchost.exe」刪除掉。
並改回成
「C:WINDOWSsystem32userinit.exe,」（注意最後面要有逗號「,」）



3.重新開機

（若不重開機，無法刪除底下的兩個檔案）

4.將底下兩個檔案刪除

C:WINDOWSsystem32PDLL.dll
C:Program FilesWindows Media Playersvchost.exe




應該是這樣就完成了。

那這病毒到底會有什麼影響呢？根據趨勢trend的說明

Information Theft

This spyware monitors the Internet Explorer (IE) activities of an affected user. It steals account-related information, such as user names and passwords, from the online game Lineage. It does the said routine by logging keystrokes when users access particular URLs related to the said game.

It then saves the gathered information in a certain text file, which it sends to a predetermined email address using its own Simple Mail Transfer Protocol (SMTP) engine.

應該就是偷IE裡的帳號、密碼吧！

這讓我想到朋友寄來的那封信，裡頭還有一堆她通訊錄裡的收件人，看起來應該不是假造的信件，我猜測可能是有人偷了她yahoo信箱的帳號及密碼，再以她的帳密登入後，再寄出這病毒信。

建議有中毒的人，殺完毒後，趕快去改改信箱的密碼吧！

12/4日補充


--------------------------------------------------------------------------------

前面說過之前幫幾台電腦解過毒，那些中毒的電腦跟這個.com附檔的徵狀有些些不同。

首先，怎麼看你的電腦是否中了這類型的毒呢？

你可以開啟檔案總管，連到c:windowssystem32下面， 切換檢視模式為「詳細資料」，按下「修改日期」讓最新變動過的檔案排在最前面。



看看你這台電腦剛剛開機的時間，是否有一些PDLL.dll、hhyy.dll 等 dll 的檔案，假如有，那就恭喜你中獎了。

假如有這些東西，請執行 regedit，找到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



上面Run裡頭的登錄檔，就是你一開機時會載入執行的程式，看看有沒有一些奇怪的東西。你一定會問，什麼是奇怪的東西呀？這我實在很難回答，因為之前解毒後並沒有把那些資料紀錄起來。
(951208更新：大概就像上圖中黃色的部分)

大概看一下Run上面是不是有一些執行檔，印象中在上圖的「名稱」裡有一些PDLL.dll、hhyy.dll...等，它們在「資料」裡的位置為

c:windowsconfigsvchost.exe
c:windowsdownloadsvchost.exe
c:windowsrundll32.exe
上面svchost.exe及rundll32.exe的正確位置是在c:windowssystem32裡。假如你在你的 Run 裡看到這些，請把他們刪除，另外若有看到出現亂碼的，建議也把他們刪除掉（請記得事先備份一下）
再重新開機。

開完機後，再去將上面多餘的svchost.exe、rundll32.exe等檔案及c:windowssusyem32裡的一些PDLL.dll、hhyy.dll等刪除掉（若無法刪除，出現檔案正在使用中的訊息，大概表示你的Run登錄檔裡的資料未清除乾淨）。

大概就是這樣吧！若下次有碰到重這些毒的檔案，我再來詳細記錄一下。

回首頁