中木馬~刪不掉!!

[複製連結] 檢視: 1307|回覆: 5

大白

一般的居民

電梯直達

1^#

發表於 05-3-5 20:04:23 |只看該作者 |降序瀏覽大字中字小字正體化简体化

我中了一個 PWSteal.Lineage 的木馬

我用NORTON 掃到可是他是一個 htdll.dll檔

不能刪餒

怎辦阿?

轉播0 分享0 收藏0

回覆使用道具檢舉

asktoto

無名的居民

2^#

發表於 05-3-5 21:26:06 |只看該作者大字中字小字正體化简体化載入全部圖片

回覆: 中木馬~刪不掉!!

[QUOTE=大白]我中了一個 PWSteal.Lineage 的木馬

我用NORTON 掃到可是他是一個 htdll.dll檔

不能刪餒

怎辦阿?[/QUOTE]
巴哈有篇文可以幫妳,我轉給妳看,以下..
中毒名稱：pwsteal.trojan
狀況描述：
--------------------------------------------------------------------------
各位大大
這封信是小弟的朋友轉給我的，給大家參考。
小弟轉給我們公司的MIS，測試後果然可以移除，所以分享給大家參考囉。
這一兩天... 公司同事的諾頓病毒通報視窗
一直顯示了 C:\windows\system32\ct1dll.dll 中ㄌpwsteal.trojan
證實中了木馬病毒，而且是專盜使用者Keyin 的帳號密碼
-------------------------------------------------------------------------
解決方法：
本人在網路上尋找... 但大部份都是拼湊的處理結果
尤其公司的電腦系統使用的大多為 WIN98SE ，這方面解決的方法不多...
所以除了找找資料，本人必須自己想辦法來處理..
不過也證實此檔非系統使用可以刪除
一般處理都會同時按下 [CTRL]+[ALT]+[DEL] 開啟關閉視窗
來查查有無不正常開啟的檔案... 來了解病毒有無一開機執行
然而...我並沒有發現.... (有點失望與頭大)
首先在發現病毒無法刪除... 一定是被定為正在使用的檔案.. 那有可能是動態連結檔
在DOS下刪除該病毒... 開機後...病毒又出現...
該檔案殺了又生... 就可以了解.. 該病毒不斷被複製
合理懷疑有人在利用動態連結檔去不斷生成病毒...
而動態連結檔... 主要為 RUNDLL32.EXE
所以我就先搜尋該檔.. 發現在 Windows 目錄的檔案約為60K
但是圖示卻顯示為筆記本的圖示，就可以知道... 這個一定不是原始檔案..
回到座位... 找尋自己的電腦下的 RUNDLL32.EXE 卻為 24K的檔案...
更確定為該檔案為病毒複製檔... 為了產生 Ct1dll.dll 這個木馬
而真正的 RUNDLL32.EXE 原始檔...一定被移往他處
( 因為系統開機需要這個檔案..不可能將它刪除)
於是我回到DOS下.. 把自己原始RUNDLL32.EXE 的檔案複製給中毒機台..
而且刪除了 Ct1dll.dll ，再重新開機.....
沒想到...操作一會兒.. 該病毒視窗又出現了....
我去搜尋 RUNDLL32.EXE 發現並未感染... 直覺上就知道... 還有別的病毒複製檔在作怪
想想動態連結還有一個檔案也很可疑 INTERNAT.EXE
這次我將搜尋的範圍加大... 於是找到兩個 INTERNAT.EXE 其中一個為筆記本的圖示
不用說...一定是病毒生成檔..及將INTERNAT的路徑指向修改...
另一個在C:\Program Files\
果然... 在這裡我找到兩個原始檔一個為 INTERNAT.EXE 一個為 RUNDLL32.EXE
在DOS下把它們複製回去... 並刪除 CT1DLL.DLL 的病毒.. 解決了這次的病毒　
-------------------------------------------------------------------------
前面的是我處理的狀況... 有點怪... 我再重整...教大家最簡單的解決方法...
1. 搜尋 INTERNAT.EXE & RUNDLL32.EXE
2. 確定 C:\WINDOWS\RUNDLL32.EXE & C:\WINDOWS\SYSTEM\INTERNAT.EXE
圖示為筆記本圖示
3.確定C:\Program Files\ 有INTERNAT.EXE & RUNDLL32.EXE 這兩個檔案
4. 將WINODWS98SE 關機.. 選擇 [重新開始在MS-DOS 狀態]
5. COPY C:\Program Files\INTERNAT.EXE C:\WINDOWS\SYSTEM
6. COPY C:\Program Files\RUNDLL32.EXE C:\WINDOWS\RUNDLL32.EXE
( 請確定複蓋過去)
7. DEL C:\WINDOWS\SYSTEM\CT1DLL.DLL
8. 重新開機.....................

回覆使用道具檢舉

大白

一般的居民

3^#

發表於 05-3-5 22:21:59 |只看該作者大字中字小字正體化简体化載入全部圖片

回覆: 中木馬~刪不掉!!

謝謝~~~可是我找不到 INTERNAT.EXE & RUNDLL32.EXE
天阿~~~誰能幫幫我阿?

回覆使用道具檢舉

asktoto

無名的居民

4^#

發表於 05-3-5 22:31:36 |只看該作者大字中字小字正體化简体化載入全部圖片

回覆: 中木馬~刪不掉!!

[QUOTE=大白]謝謝~~~可是我找不到 INTERNAT.EXE & RUNDLL32.EXE
天阿~~~誰能幫幫我阿?[/QUOTE]
不用謝啦...不行還有篇文-不記得哪下的我給妳看看
【中木馬了~PWSteal Trojan】
情況是會一直卡在防毒軟體NORTON ANTI VIRUS
的除錯畫面C:\WINNT\SYSTEM\htdll.dll
------------------------------------------------------------
解決方案:
1.如果你想知道電腦內有無htdll.dll木馬病毒:
-請到C:\WINDOWS\system32\查看,如果找出htdll.dll檔案的話.表示中了木馬病毒.
試著掃描該檔案,如果防毒軟體偵測不到病毒.表示病毒碼不是最新的,
否則一定會偵測到病毒!
- 按Ctrl+alt+delete,選擇處理程序,如果有發現二個explorer.exe處理程序,表示有木馬病毒.(事實上正常的explorer.exe是作業系統必須的處理程序,另一個explorer.exe才是木馬的本尊.)
該病毒會竊取電腦一切機密資料,大量佔用系統資源,掃毒軟體每次開機會永遠出現偵測到病毒,無法直接刪除,
也無法修復/隔離,即使刪除後重開機,htdll.dll又會再次出現.

2.完全移除方法:
先按Ctrl+alt+delete,關掉Norton掃毒應用程式(如果有使用的話)
接著再關掉二個explorer.exe處理程序.
此時開始工具列會消失.
3.確定explorer.exe關閉後htdll.dll應該會自己消失,但還是請確定該檔案是否還在以下位置:
C:\WINDOWS\system32\htdll.dll
如果還在,請立刻刪除它.
4.按下ctrl+alt+del,點選"檔案(F)"-新工作輸入explorer以開啟開始工具列.

5.最重要的,請到C:\Program Files\裡面查看,
該資料夾內會多出一個explorer.exe檔案(記事本的圖示,96.5kb),
這就是電腦啟動後不斷的讓htdll.dll重生的罪魁禍首,刪除它. 接著清理資源回收桶
6.重開機,確認是否沒有再出現htdll.dll以及二個explorer.exe處理程序,一切無誤的話,完成!