Version 8 (modified by wade, 16 years ago) (diff) |
---|
隨身碟病毒/隱藏檔選項無法開啟
免費掃木馬
60 秒重開機病毒
症狀:
- 電腦會自動出現重新開機倒數。
- 以上這兩種中毒情況 在 「C:\windows\system32\」 底下都會建立 「sprint.dll」。
- 模式 1:
- svchost 數目增加至少六個。
- 被病毒修改過的 spoolsv 會去調用 svchost.exe。
- 「工作管理員」底下可以看到有一個 svchost 以 「目前使用者的名稱」 執行
- 解決方法:
- EFix 4.84 版執行後重開機看有沒有好轉。
- 手動
- 先開啟「工作管理員」將 「spoolsv.exe」 和「使用者名稱」那一欄名稱是自己登錄名稱的 「svchost.exe」 關閉。
- 將 「windows\system32\spoolsv.exe」 刪除 (只要這個 「spoolsv.exe」 就可以其他不用)。
b2. 找正常的 「C:\windows\system32\spoolsv.exe」 檔補回去。 - 將windows\system32\sprint.dll刪除。
- 將windows\system32\dots.exe刪除。 或者是windows\system32\dots1.exe。
- 重開機。
- 模式 2:
- svchost的數目不變,維持5個。
- Volume Shadow Copy - 「vssvc.exe」 的服務被啟動了。
- 解決方法:
- 先到「工作管理員」底下關掉 「vssvc.exe」 如果有看到 「smlogsvc.exe」 也一起關掉。
- 「開始」 → 「執行」 → cmd 按 「enter」。 在 C:\> 底下輸入 sc stop vss 和 sc stop sysmonlog
- 再到 「C:\windows\system32\dllcache」 底下。
- 將 「隱藏保護的作業系統檔案」 打開才看的到 「dllcache」 資料夾。
- 將無毒的 「smlogsvc.exe」 複製到 「C:\windows\system32\」 底下。
- 將 「c:\windows\system32\sprint.dll」 刪掉。
- 重開機。
reference
- PTT / junorn
- http://reinfors.googlepages.com/
Attachments (3)
- EFix484.exe (1.2 MB) - added by wade 16 years ago.
- EFix493.exe (1.2 MB) - added by wade 16 years ago.
- EFix4977.exe (1.2 MB) - added by wade 16 years ago.