首頁一直被綁架也不是辦法, 綁完還是要給反安裝程式
Norton AntiVirus Corporate Edition 7.5 可以抓到這個病毒了(2007/11/22)
結果還是沒解決
services.exe還是會連到 www.blackirc.us下載mmdmm.exe
然後產生mdm.exe、a.exe、rundll32.exe
mdm.exe會連上到 tap.aktash123.com
首頁會被改成dbsarticles.com
只好先用防火牆防止services.exe對外連線了
1. 在以下登錄檔位置有C:/WINNT/rundll32.exe、C:/WINNT/system32/mdm.exe [要刪除]
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
[HKEY_USERS/.DEFAULT/Software/Microsoft/Windows/CurrentVersion/Run]
2. 開啟工作管理員, 結束以下處理程序(建議可以重開機, 按F8進入安全模式, 直接進入步驟3)
rundll32.exe、mdm.exe
3. 開啟檔案總管,刪除以下檔案
C:/WINNT/rundll32.exe
C:/WINNT/system32/mdm.exe
C:/WINNT/system32/a.exe
C:/ntlds.exe
4. 在以下登錄檔有字串屬性Start Page 修改內容變更首頁網址
HKEY_CURRENT_USER
└Software
└Microsoft
└Internet Explorer
└Main
如果你是系統管理員者, 建議以下步驟
開始 -> 執行 -> 輸入gpedit.msc
在以下位置會看到停用命令提示字元、停用登錄編輯工具, 將設定改為啟用
使用者設定
└系統管理範本
└系統
以下登錄檔位置有C:/WINNT/system32/mdm.exe相關資料(建議可以用搜尋功能找mdm.exe, 會花比較多的時間)
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/SharedDLLs]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Installer/UserData/S-1-5-18/Components/C357B2D1A9DC1D112897000CF42C6133]
[HKEY_CLASSES_ROOT/CLSID/{834128A2-51F4-11D0-8F20-00805F2CD064}]
留言列表
程式 (3)