電腦中毒(木馬)，刪除後...卻又再生(急)

[qwe159511]

今日開機卡巴馬上掃到一個中毒的檔案

於是自行到C曹，把他的主檔案給砍掉

但砍掉後...過幾秒，卻又出現了...

之後到安全模式下，找此檔案

但安全模式下..卻找不到
(只有正常模式下找的到)

手動刪除已無效~"~
(到卡巴程式內，此檔案的路徑，也刪除，但還是過一下子，又出現了)

也用過費爾木馬強力清除程式，並鉤選抑制檔案再度生成，但還是一樣，無效

請問該怎麼解決呢?

[arlona]

老大~~
您中的是什麼毒？還是木馬？
把名字給PO上來，或是把一直刪不掉的檔案貼出來，
這樣大家比較有辦法替您想辦法喔~~

[qwe159511]

已找到解毒文件
lup.exe =>Backdoor.Win32.Agobot.agw (Kaspersky)
mssvcc.exe =>Backdoor.Win32.Agobot.agw (Kaspersky)


高波蠕蟲變種。和昨日病毒（3月13日）中描述的樣本功能幾乎完全相同，只是應用了不同的加密壓縮殼處理，生成的新變種。
1、mssvcc.exe運行後，將創建下列文件：
%SystemDir%\mssvcc.exe,
在註冊表中添加下列啟動項：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msconfig38" = mssvcc.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msconfig38" = mssvcc.exe
這樣，在Windows啟動時，病毒就可以自動執行。

2、利用多種系統漏洞進行傳播。會掃瞄局域網內存在漏洞的計算機，發送大量數據包，可以造成局域網擁堵甚至癱瘓。

3、連接irc服務器newircd.slateit1703.info:8080，接收黑客命令。

4、lup.exe運行後，將創建下列文件：
%SystemDir%\mssecure.exe, 82053字節
在註冊表中添加下列啟動項：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"secures23" = mssecure.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"secures23" = mssecure.exe
這樣，在Windows啟動時，病毒就可以自動執行。

參考解決方式:
近入安全模式後將上面機碼跟檔案刪除
然後在用卡巴+AD-Aware等木馬掃除程式再行掃瞄一次
--------------------------------------------------
但我到上面的機馬，卻都沒找到文章內所說的mssecure.exe
工作管理員也沒找到mssecure.exe

完了= =

註:檔名為:Trojan.Win32.Ourxin.a.(卡巴顯示的病毒檔名)

另外~剛到安全模式下
可以移除一直跳出來的檔案了，且刪除後，在安全模式下也沒出現了
不過..當正常模式時，又出現來亂了= =

[infornet]

xp 的系統還原先暫時關閉，再掃毒。

[qwe159511]

剛剛到安全模式，用AD-AWARE+卡巴掃毒後，目前上網已經沒跳出卡巴的警告訴窗了
(還剛開機時，還是有跳出一次，很不安= =)

且卡巴也無馬將所有的病毒都刪除，還是有漏網之魚，無法強制刪除的檔案
一直跳出來砍不完的LUP.EXE這個檔案，依舊還是砍不了
(只是暫時沒出來作怪，下次開機是否還會那麼安穩? 實在很不安~"~)

[dolphins]

之前碰過一個現象 提供參考

電子郵件夾帶的檔案有病毒 只要該電子郵件還在 就會自動產生病毒檔案來
刪除後沒有多久又自動產生 即使在安全模式也一樣