wiki:wade/antivirus

Version 8 (modified by wade, 16 years ago) (diff)

--

隨身碟病毒/隱藏檔選項無法開啟

免費掃木馬

60 秒重開機病毒

症狀:

  1. 電腦會自動出現重新開機倒數。
  2. 以上這兩種中毒情況 在 「C:\windows\system32\」 底下都會建立 「sprint.dll」。
  • 模式 1:
    1. svchost 數目增加至少六個。
    2. 被病毒修改過的 spoolsv 會去調用 svchost.exe。
    3. 「工作管理員」底下可以看到有一個 svchost 以 「目前使用者的名稱」 執行
  • 解決方法:
    1. EFix 4.84 版執行後重開機看有沒有好轉。
    2. 手動
      1. 先開啟「工作管理員」將 「spoolsv.exe」 和「使用者名稱」那一欄名稱是自己登錄名稱的 「svchost.exe」 關閉。
      2. 將 「windows\system32\spoolsv.exe」 刪除 (只要這個 「spoolsv.exe」 就可以其他不用)。
        b2. 找正常的 「C:\windows\system32\spoolsv.exe」 檔補回去。
      3. 將windows\system32\sprint.dll刪除。
      4. 將windows\system32\dots.exe刪除。 或者是windows\system32\dots1.exe。
      5. 重開機。
  • 模式 2:
    1. svchost的數目不變,維持5個。
    2. Volume Shadow Copy - 「vssvc.exe」 的服務被啟動了。
  • 解決方法:
    1. 先到「工作管理員」底下關掉 「vssvc.exe」 如果有看到 「smlogsvc.exe」 也一起關掉。
    2. 「開始」 → 「執行」 → cmd 按 「enter」。 在 C:\> 底下輸入 sc stop vss 和 sc stop sysmonlog
    3. 再到 「C:\windows\system32\dllcache」 底下。
    4. 將 「隱藏保護的作業系統檔案」 打開才看的到 「dllcache」 資料夾。
    5. 將無毒的 「smlogsvc.exe」 複製到 「C:\windows\system32\」 底下。
    6. 將 「c:\windows\system32\sprint.dll」 刪掉。
    7. 重開機。

reference

Attachments (3)