【求助】開機後找不到病毒(木馬)程式的錯誤訊息 [Site Map]

贊助商連結

范靜善

2005-04-28, 01:07 AM

我之前用spybot以及Ad-Aware SE Personal都掃不到sLmaxs.exe...
(ie有多"51888.com"的工具列& 開IE沒一分鐘就會當機)
　
所以我後來就用regedit去搜尋相關字，把他都刪掉了，(重覆搜尋至找不到為止)
但現在一開機就會出現如下圖的訊息，都要按完確定才能進入桌面。
　
我有去regedit裡的HKEY_LOCAL_MACHINE -> SOFTWARE -> MICROSOFT -> WINDOWS ->CURRENTVERSION ->RUN 裡面看，都沒有我之前被綁架(IE工具列)的程式名稱~~
　
請問各位，要如何做，開機才不會再出現下圖呢? 謝謝 :)
http://www.pczone.com.tw/upload/001/%a5%bc%a9R%a6W2.jpg

贊助商連結

papashoun

2005-04-28, 07:20 AM

http://zsbbs.3721.com/viewthread.php?tid=349140&sid=EEEztz
這是大陸的論壇~好像有解決方法~

這個問題好像是在瀏覽大陸網站或是灌簡體版軟體的時候,它有時候會偷偷裝上"上網助手"(好像大陸人發明的= =),之前我好像也不小心被裝上= =
我記得只要在新增移除程式那邊好像可以把那個軟體移除就沒問題了~

范靜善

2005-04-28, 05:44 PM

TO papashoun :
謝謝您~~我之前就有去新增移除程式那裡看過..但是並沒有那個程式..>"<

papashoun

2005-04-28, 07:23 PM

不然看新增移除程式找看看有沒有從來沒看過的程式,之前也有碰到是大陸簡體的~顯示是亂碼= ="
那麼先用尋找=>檔案或資料夾,找看看硬碟裡面(看有幾個槽都找一下)能不能找到sLmaxs.exe,如果沒有就可以確定已經刪除了~可以的話順便看看Program files裡面有沒有多一個叫3721的資料夾~那就是上網助手(以前我碰過叫網路實名...好像都一樣..= =),有的話就刪掉,如果刪不掉就是它還有東西常駐在電腦裡~
像win98se一開始常駐的檔案,通常都放在幾個特定的地方,例如:
<第一個>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
這是在登錄檔的東西,很多常駐的都放在那邊,像我都把它刪到剩防毒監控程式而已,開機比別人快好多= ="
<第二個>
打開windows資料夾裡面的win.ini
[windows]
load=
run=
NullPort=None
load和run裡面沒意外的話都是空空的~
<第三個>
也是windows資料夾下面的system.ini
[boot]
shell=Explorer.exe
system.drv=system.drv
drivers=mmsystem.dll power.drv
user.exe=user.exe
gdi.exe=gdi.exe
sound.drv=mmsound.drv
dibeng.drv=dibeng.dll
comm.drv=comm.drv
mouse.drv=mouse.drv
keyboard.drv=keyboard.drv
*DisplayFallback=0
fonts.fon=vgasys.fon
fixedfon.fon=vgafix.fon
oemfonts.fon=vgaoem.fon
386Grabber=vgafull.3gr
display.drv=pnpdrvr.drv
這裡面也會有木馬偷偷加在這邊= ="
<第四個>
在開始=>程式集=>啟動
沒意外的話裡面應該也是空空的~
<第五個>
看看msconfig.exe裡面的啟動,看看有沒有相關的程式在執行中,把勾勾取消,重新開機後就不會再執行了~不過這只是治標不是治本的辦法= =

最後覺得很煩就乾脆format重灌,保證乾乾淨淨什麼東西都正常,反正98重灌只要20幾分鐘(看電腦配備吧)~粉快~真的很快= ="

~GG~

2005-04-29, 03:50 AM

看不到圖耶..
圖檔麻煩做個修復..!

范靜善

2005-04-29, 07:05 PM

to: papashoun
感謝感謝^^
我一路照您的試，原來他是藏在windows資料夾下面的system.ini
[boot]
shell=Explorer.exe C:\WINDOWS\sLmaxs.exe
我已把他刪除，現在開機好像沒有這個問題了(因機器平日都是家人在使用)
真是又學到了 ^^ 感謝~~

ps.這裡(pczone)的圖檔我重覆傳了2~3次了，怪怪~有時圖檔居然會不見@@""

琥珀

2005-04-29, 07:49 PM

比較少人知道的地方，還有這裡：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

檢查 Shell 和 Userinit 這兩個。

papashoun

2005-04-29, 11:03 PM

今天跑去大陸的論壇~"不小心"又中了木馬....=.=
本來的程式名稱是"interinfo"...它居然改成"inertinfo.exe"害我找不到= =
結果又發現了另外會藏在常駐的地方~貼出來給大家注意一下~
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run-
卡巴斯基沒反應~就這樣讓它存在我的電腦裡= ="...所以必須用手動的來清除~