病毒的防制和解決方案....

伊莉亞

在這個變化多端的網路虛擬世界中,有太多等著我們寶貝電腦去踏觸的地雷了...........

如何完全杜絕呢!?當然就是灌完OS之後既不上網也不安裝任何程式...!?(這樣我買電腦幹嘛啊!!?)

所以防毒軟體將是為我們電腦把關的最後一道防線,只是道高一尺魔高一丈...木馬後門等惡意程式的入侵永遠

是防不勝防,當不小心被這些病毒衝出封鎖線時該怎麼辦呢??

因此,本主題就是希望能把各種解決方案都收錄進來,如此也好讓大家能盡速尋獲心急如焚想要的解答~~~~

我會在此題陸續收錄一些排除病毒的相關操作資訊..此外~也希望各位能一起提供.....謝謝........

伊莉亞

今天朋友突然打電話給我...說有一個病毒檔KAV竟然殺不掉.....非常的慌張......
經查尋之後,知道這隻病毒是木馬的一種...全名叫:

PWSteal.Trojan
「PWSteal.Trojan」是一種試圖竊取登錄者姓名及密碼的特洛依木馬程式，這些被竊的密碼通常會被傳送至一個匿名的電子郵件信箱中。而這個特洛依木馬程式仍然是最常被舉報會偷密碼的特洛依木馬程式的其中一個。

我這邊碰到的狀況是會有一個"htdll.dll"是刪不掉的...而處理程序上也會多出一個explorer.exe



解決方法如下:

1.如果你想知道電腦內有無htdll.dll木馬病毒:
-請到C:\WINDOWS\system32\查看,如果找出htdll.dll檔案的話.表示中了木馬病毒.
試著掃描該檔案,如果防毒軟體偵測不到病毒.表示病毒碼不是最新的,
否則一定會偵測到病毒!

- 按Ctrl+alt+delete,選擇處理程序,如果有發現二個explorer.exe處理程序,表示有木馬病毒.(事實上正常的explorer.exe是作業系統必須的處理程序,另一個explorer.exe才是木馬的本尊.)
該病毒會竊取電腦一切機密資料,大量佔用系統資源,掃毒軟體每次開機會永遠出現偵測到病毒,無法直接刪除, 也無法修復/隔離,即使刪除後重開機,htdll.dll又會再次出現.


2.完全移除方法:
先按Ctrl+alt+delete,關掉Norton掃毒應用程式(如果有使用的話)接著再關掉二個explorer.exe處理程序. 此時開始工具列會消失.


3.確定explorer.exe關閉後htdll.dll應該會自己消失,但還是請確定該檔案是否還在以下位置: C:\WINDOWS\system32\htdll.dll 如果還在,請立刻刪除它.


4.按下ctrl+alt+del,點選"檔案(F)"-新工作 輸入explorer以開啟開始工具列.


5.最重要的,請到C:\Program Files\裡面查看,
該資料夾內會多出一個explorer.exe檔案(記事本的圖示,96.5kb),
這就是電腦啟動後不斷的讓htdll.dll重生的罪魁禍首,刪除它. 接著清理資源回收桶


6.重開機,確認是否沒有再出現htdll.dll以及二個explorer.exe處理程序,一切無誤的話,完成!

盛夏的果實

防制阿?
那我想請問一下喔...
我是電腦白痴...
問題如果很笨請不要笑我.

既然已經有掃毒系統.
那為何會中木馬呢?
如果說今天我開了防火牆.防毒軟體.
而收到一封會自己解壓縮與安裝的病毒信.
那是否還會中病毒阿?
(因為最近我朋友中了病毒.他死都不修電腦.而那個病毒一天到晚會幫他寄病毒信.我怕我哪天會中標.)

miluo90178899

to 盛夏的果實~~~\

因為防毒軟體道高一尺，病毒和駭客魔高一丈啊!!!
而且對這些閒閒吃飽沒事幹的傢伙而言，害人是非常有趣的.........
對他們而言，所有的軟體都是又漏洞的，只是現在還沒找到而已

之前中了一個相關的變型，貼上來大家參考一下

TR/PSW.Lineage.CB.2

-------------------------------------------
C:\WINDOWS\NSVC.DLL
Is the Trojan horse TR/PSW.Lineage.CB.2
-------------------------------------------
症狀：掃毒程式可以找到並自動刪除，但每次重開機又跑出來(天啊!!!)
相似型：htdll.dll
這個東東和htdll.dll有點像，不同的是，它沒有常駐記憶體，不會在你使用電腦的時後跑出來，但一開機，保證讓你煩死，因為你的防讀軟體會一直告訴你中獎、中獎、中獎(受害者之一TXT)

解決方法：參考易學網
1. 打開regedit(開始->執行->輸入regedit並執行)
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run，又邊窗格有一個Sys_Run，資料內顯示C:\WINDOWS\ghost.exe，將它殺掉XD
3. 接著找出C槽內的ghost.exe(通常在WINDOWS下)，砍了它
4. 重新開機，執行掃毒軟體，看看殺乾淨了沒有

愛用國貨

我中了pwsteal.lemir.gen 怎刪除不掉

miluo90178899

[QUOTE=愛用國貨]我中了pwsteal.lemir.gen 怎刪除不掉[/QUOTE]

PWSteal.Lemir.Gen

說明：PWSteal.Lemir.Gen 是對一類竊號木馬的統稱，這個方法只適用於木馬主本檔案為 Expl0rer.exe 的 PWSteal.Lemir.Gen 木馬，在使用此方法前請先確保自己遇到的是這個木馬才可以。 同樣的，文章中所提到的方法及其中所提到的有關費爾托斯特安全可以清除此木馬/病毒的內容是特指這一個木馬/病毒的目前這一版本，並不保證對此木馬/病毒的以前舊有版本和往後所有可能產生出的新版本都同樣有效。
有許多使用者反應一些防毒軟體在發現 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木馬後遇到無法隔離、刪除或是清除後反覆出現的問題。下方就告訴大家一個清除此木馬簡單有效的方法：
因為此木馬會將自己註冊為系統 Explorer 元件，即使刪除後也會自動生成，所以一般的防毒軟體較難直接清除掉它，但費爾托斯特安全可以完全徹底清除掉此木馬，並且刪除後不會再次出現，所以如果手上有費爾托斯特安全的正式版可以使用它刪除（建議先升級到最新版的病毒碼）。如果沒有也可以用下方的方法手工清除它（注意以下方法測試於Windows2000/XP/2003/NT，9x/me下可能有些略有不同，這時建議使用費爾托斯特安全清除）：

一、請先去把系統設定為「顯示隱藏檔案」，因為病毒以隱藏內容偽裝，不做此設定將無法看到它，設定的方法如下（如果系統已經做了此設定可以跳過這一步）： 開啟「我的電腦」； 依次開啟菜單「工具/資料夾選項」； 然後在彈出的「資料夾選項」對話框中切換到「檢視」頁； 解除「隱藏受保護的作業系統檔案(推薦)」前面的對鉤，讓它變為不選狀態； 在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項； 解除「隱藏已知檔案類型的副檔名」前面的對鉤，也讓它變為不選狀態； 最後點選「確定」。

二、按「Ctrl+Alt+Del」鍵彈出排定的工作，找到EXPL0RER.EXE行程（注意第5個字母是數位0不是字母O），找到它後選擇它並點選「結束行程」以結束掉木馬行程。然後迅速做下方一步，只所以要迅速是因為如果動作慢的話，木馬可能會自動還原而再次執行起來，這樣就無法刪除掉其他木馬檔案了（如果EXPL0RER.EXE行程再次執行起來需要重做這一步）

三、開啟資源管理員進入到 「系統目錄WinntSystem32」下（如果您的win2000/nt/xp安裝在C盤則就是 C:WinntSystem32）。找到EXPL0RER.EXE檔案（注意第5個字母是數位0不是字母O）、SysModule32.dll檔案，然後直接刪除它們。如果這時報告「檔案正在執行無法刪除」的類似提示則說明木馬已經再次還原了，需要從第二步開始重複做，並且從第二步到第三步一定要迅速，這裡建議可以先開啟資源管理員選擇這幾個待刪除的檔案，在做第二步即剛結束掉EXPL0RER.EXE行程後馬上轉過來刪除這2個檔案，這樣一般就可以成功了

四、同樣在 「系統目錄WinntSystem32」目錄下找到 SysModule64.dll 檔案，嘗試刪除它，不過如果這時報告「此檔案正在執行中無法刪除」等類似提示也沒有關係，稍後在第七步將介紹如何刪除此檔案

五、開啟資源管理員進入到 「系統目錄Winnt」下，找到一個 MFCD3O.DLL 檔案，手工刪除它

六、開啟「開始/執行」，輸入「regedit」後「確定」以開啟註冊表編輯器，找到「HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵，把整個「{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵全部刪除。

七、登出目前使用者或重新登入或重新啟動電腦。之後再按第四步的方法刪除掉 SysModule64.dll 檔案，如果一切正常此時應該可以刪除掉它了。

至此，如果一切順利 PWSteal.Lemir.Gen 木馬就應該完全從您系統中清除乾淨了。
--------------------------------------------------------------------------------
* 作者:費爾安全實驗室(原創), 日期:2003/12/16. 若轉載請註明引自"費爾安全實驗室" *
參考資料：http://www.filseclab.com/cht/tech/PWSteal.Lemir.Gen.htm

yuki1219mylove

獲益良多   謝謝大大的指教
我會更小心

986

[QUOTE=伊莉亞]在這個變化多端的網路虛擬世界中,有太多等著我們寶貝電腦去踏觸的地雷了...........

如何完全杜絕呢!?當然就是灌完OS之後既不上網也不安裝任何程式...!?(這樣我買電腦幹嘛啊!!?)

所以防毒軟體將是為我們電腦把關的最後一道防線,只是道高一尺魔高一丈...木馬後門等惡意程式的入侵永遠

是防不勝防,當不小心被這些病毒衝出...『刪除過多引言』[/QUOTE]

--------------------------------
安裝全世界第一的防毒軟體都還是無法刪除virus的話...
我們到底要如何改善或避免這樣的情事發生呢?

愛上牛奶的咖啡

大哥押...
小弟中了病毒啦...ID:PSW.lineage.DN trojan
好像是在常駐記憶體那邊所以砍不掉也隔離不掉
救救我~

幹麻

看了你的主題後...發現我也有一樣的問題@@" 好在有說不然我都不知道勒...