小弟公司的win2000 server中了Backdoor.Trojan這隻後門病毒 因wsl是開機後就不能將之停止執行的程式 firewall也隔離不了刪也刪不了 是否沒救了 堅持從洗馬桶做起 Eric

http://delphi.ktop.com.tw/topic.php?TOPIC_ID=21511 【轉貼】轉貼(景氣差沒錢買掃毒軟體可以參考一下) 或此篇文章 看看 http://www.symantec.com/region/tw/avcenter/news/0205.html http://securityresponse1.symantec.com/sarc/sarc-cn.nsf/html/cn-w32.sober.d@mm.html 試看看 9. BackDoor v2.00 - v2.03 清除木馬的步驟： 打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 刪除右邊的'c:\windows\notpa.exe /o=yes' 關閉Regedit，重新啟動到MSDOS系統中 刪除c:\windows\notpa.exe 注意：不要刪除真正的notepad.exe筆記本程式 ＯＫ 【轉貼】看看系統到底執行多少程式 http://delphi.ktop.com.tw/topic.php?TOPIC_ID=48120 發表人 - conundrum 於 2004/04/18 15:48:08

感謝conundrum 小弟已清除這隻病毒 但不是以上的方法因為在那方法上的path 找不到您指向的c:\windows\notpa.exe /o=yes' 但小弟找了凡有wsl.exe的指向都刪了 重開機處理程序中後就找不到wsl.exe了 而再到msdos下把它(backdoor.trojan)幹掉了 再次感謝您 堅持從洗馬桶做起 Eric

病毒的技巧 有時是很難有固定模式的 只有了解 程式運作或驅動呼叫或service方式不等 但只要對系統的預設程式了解 你就大可知道 不明程式的探測 是否為病毒程式 若要以PE探測 那將會是更深一層的技術 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 這個啟動位置 其實很多木馬找不使用 因為 可以由root的啟使位置 來製造其他的系統啟動reg