請教幾個病毒

Home Home

引用 | 編輯 opob
2005-05-03 22:05

樓主
▼

最近電腦掃到幾隻病毒
分別是TROJ_LINEAGE.N TROJ_LINEAGE.AM
以及HTML_MHTREDIR.A
這幾個pccillin都沒有辦法清除...只有把它隔離
請問各位大大這幾隻病毒的簡介與解法

引用 \| 編輯 alex252 2005-05-04 15:52	1樓 ▲ ▼
我建議你可以在開機時先按F8進到XP的安全模式底下，然後在不要連網路的狀況下，再用防毒軟體去掃這些病毒，通常在這個情況下病毒不會常駐（因為沒連網），防毒軟體大部分都可以把病毒清掉，當然囉！你病毒碼請先更新到最新的，這樣就更保險囉！祝早日脫離毒海囉！ x0

引用 | 編輯相見恨晚
2005-05-06 13:14

2樓
▲ ▼

這幾支病毒，大部份都是跟線上遊戲（天堂II）有關係，也很多都是 PWSteal.Trojan 的相關變種.

以下僅適用於 XP 系統，而在執行以下所有動作時，也請在先至「我的電腦」→「控制台」→「系統」→「系統還原」，執行「關閉所有系統還原」，並且重新開機進入安全模式。

使用掃毒程式，查詢出目前所有已感染上述病毒之檔案，並且使用刪除的方式，將檔案移除。

使用「Ctrl + Alt + Delete」，將 rundll32.exe 停止執行。

在「程式管理員」中，檢查是否有以下檔案正在執行，若是有的話，也請一併關閉。若是有其他惡意軟體的程序，也一併關掉。

EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
MAILMON.EXE
PASSWORDGUARD.EXE
RAVMON.EXE
ZONEALARM.EXE

依序檢查以下檔案，若是有存在，請將其刪除。

C:\Program Files\rundll32.exe（60K左右）
C:\Program Files\iexpoloer.exe
C:\Program Files\explorer.exe
C:\Program Files\internat.exe
C:\Windows\System32\Htdll.dll
C:\Windows\System32\ct1dll.dll
C:\Windows\System32\ct2dll.dll
C:\Windows\iexpoloer.exe
C:\Windows\internat.exe
C:\Windows\System32\exploret.exe
C:\Windows\System32\systemlt.dll

請在「開始」→「執行」，打入 regedit.exe，請先備份原始機碼，再進行修改。

若是有符合以下的機碼，請刪除該部份。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
若是有 rundll32.exe 後面沒有任何參數的，請刪除之。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadMect1
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadMect2
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadMep2
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\sysMett1 = "%Program files%\%Malware file%"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ WindowsUpdata = "%Windows%\windowsupdata.exe"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ Loadmefk = ""

請以 exploret.exe 為關鍵字，將所有相關機碼都刪除掉。

若是在上述的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有機碼的值與原本的病毒相同時，也請一併移除掉。

重新開機後，原則上就解毒成功了！再把天堂II給移除掉，若是需是要玩，請再重新安裝。還有，要記住要再把「系統還原」的功能重新打開喔。

為什麼說原則呢？因為這個病毒太多變了。

引用 \| 編輯相見恨晚 2005-05-06 13:19	3樓 ▲ ▼
另外 Norton 和 PCcillin 對 PWsteal.Trojan 目前還沒有自動解決的方法，只能採取手動移除。自動偵測與移除。可參考 Kaspersky Personal Pro version 5 以上的版本。 x0

引用 \| 編輯 opob 2005-05-23 08:51	4樓 ▲
謝謝相見恨晚大大的熱心幫忙按照您的方法執行過後果然就解毒成功了 x0