【求救】ｃｐｕ使用率好高！！ （再幫一次．．．拜託了大大）

derek

我找到了！！！病毒檔名是＂PWSteal.Lemir.Gen＂！！！(似乎是木馬)
在＂D:\WINDOWS\System32\IEXPL0RER.EXE＂的檔案
可以再教教我怎把他移除阿?

牛奶奶~

使用防毒軟體來移除.....
或是從安全模式下來移除.....
不然~~
最快是重灌啦.......(光速逃)

derek

有那種軟體可以移除?
或是還有其他的方法?

牛奶奶~

http://www.57sf.com/10_mirtec/News200403050289.htm
剛剛我用Google搜尋你的病毒名稱...
找到了這個網頁.....(竟然在第3個標題=.=)
...
不過是簡體的~(我測試過了....安全滴)
不過...這應該是別的論壇的東西吧...
不管啦~~到時有違版規的話~~
我在砍掉~
總之...你先服用看看吧

derek

謝謝了!!!大大
我先試試看

ksyrus

* 說明：PWSteal.Lemir.Gen 是對一類竊號木馬的統稱，這個方法只適用於木馬主本檔案為 Expl0rer.exe 的 PWSteal.Lemir.Gen 木馬，在使用此方法前請先確保自己遇到的是這個木馬才可以。 同樣的，文章中所提到的方法及其中所提到的有關費爾托斯特安全可以清除此木馬/病毒的內容是特指這一個木馬/病毒的目前這一版本， 並不保證對此木馬/病毒的以前舊有版本和往後所有可能產生出的新版本都同樣有效。

有許多使用者反應一些防毒軟體在發現 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木馬後遇到無法隔離、刪除或是清除後反覆出現的問題。下方就告訴大家一個清除此木馬簡單有效的方法：

因為此木馬會將自己註冊為系統 Explorer 元件，即使刪除後也會自動生成，所以一般的防毒軟體較難直接清除掉它，但費爾托斯特安全可以完全徹底清除掉此木馬，並且刪除後不會再次出現，所以如果手上有費爾托斯特安全的正式版可以使用它刪除（建議先升級到最新版的病毒碼）。如果沒有也可以用下方的方法手工清除它（注意以下方法測試於Windows2000/XP/2003/NT，9x/me下可能有些略有不同，這時建議使用費爾托斯特安全清除）：

一、請先去把系統設定為「顯示隱藏檔案」，因為病毒以隱藏內容偽裝，不做此設定將無法看到它，設定的方法如下（如果系統已經做了此設定可以跳過這一步）：

• 開啟「我的電腦」；
  
• 依次開啟菜單「工具/資料夾選項」；
  
• 然後在彈出的「資料夾選項」對話框中切換到「檢視」頁；
  
• 解除「隱藏受保護的作業系統檔案(推薦)」前面的對鉤，讓它變為不選狀態；
  
• 在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項；
  
• 解除「隱藏已知檔案類型的副檔名」前面的對鉤，也讓它變為不選狀態；
  
• 最後點選「確定」。
  

二、按「Ctrl+Alt+Del」鍵彈出排定的工作，找到EXPL0RER.EXE行程（注意第5個字母是數位0不是字母O），找到它後選擇它並點選「結束行程」以結束掉木馬行程。然後迅速做下方一步，只所以要迅速是因為如果動作慢的話，木馬可能會自動還原而再次執行起來，這樣就無法刪除掉其他木馬檔案了（如果EXPL0RER.EXE行程再次執行起來需要重做這一步）；

三、開啟資源管理員進入到 「系統目錄\Winnt\System32」下（如果您的win2000/nt/xp安裝在C盤則就是 C:\Winnt\System32）。找到EXPL0RER.EXE檔案（注意第5個字母是數位0不是字母O）、SysModule32.dll檔案，然後直接刪除它們。如果這時報告「檔案正在執行無法刪除」的類似提示則說明木馬已經再次還原了，需要從第二步開始重複做，並且從第二步到第三步一定要迅速，這裡建議可以先開啟資源管理員選擇這幾個待刪除的檔案，在做第二步即剛結束掉EXPL0RER.EXE行程後馬上轉過來刪除這2個檔案，這樣一般就可以成功了；

四、同樣在 「系統目錄\Winnt\System32」目錄下找到 SysModule64.dll 檔案，嘗試刪除它，不過如果這時報告「此檔案正在執行中無法刪除」等類似提示也沒有關係，稍後在第七步將介紹如何刪除此檔案；

五、開啟資源管理員進入到 「系統目錄\Winnt」下，找到一個 MFCD3O.DLL 檔案，手工刪除它；

六、開啟「開始/執行」，輸入「regedit」後「確定」以開啟註冊表編輯器，找到「HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵，把整個「{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵全部刪除。

七、登出目前使用者或重新登入或重新啟動電腦。之後再按第四步的方法刪除掉 SysModule64.dll 檔案，如果一切正常此時應該可以刪除掉它了。

至此，如果一切順利 PWSteal.Lemir.Gen 木馬就應該完全從您系統中清除乾淨了。 轉載引自"費爾安全實驗室"

derek

哀~~~我快被擊潰了...不知道為啥...現在連資料夾都無法開啟了.....(點選時畫面就一片黑...然後又恢復正常到桌面...但是就一直開不了就連"我的電腦"也是)......怎會這樣.............
我快被擊潰了.....
大大.....有看到我再次的呼喊嗎?HELP!!!!

牛奶奶~

[QUOTE=derek]哀~~~我快被擊潰了...不知道為啥...現在連資料夾都無法開啟了.....(點選時畫面就一片黑...然後又恢復正常到桌面...但是就一直開不了就連"我的電腦"也是)......怎會這樣.............
我快被擊潰了.....
大大.....有看到我再次的呼喊嗎?HELP!!!![/QUOTE]我現在唯一能做的....
...
賠你呼喊吧~HELP!!!!
...
我敗了...OTZ...
畢竟~我對電腦的知識還不是很深~
只能做比較基本的處理....

無法幫助你處理問題...真的很抱歉...

話說回來.....
你現在有裝防毒嗎!?
有的話~
是裝什麼的??

winnerha

先把EXPLORER關閉
叫出工作管理員
執行 CMD
DEL 目標路徑\目標物

winnerha

關閉EXPLOERE
CMD
D:
DIR/W
找到以下路徑(不一定是我打的路徑)
DEL D:\WINDOWS\System32\IEXPL0RER.EXE
DEL D:\WINDOWS\System32\SysModule32.dll
DEL D:\WINDOWS\System32\MFCD3O.DLL

執行 regedit
路徑HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F
刪除整個081FE200-A103-11D7-A46D-C770E4459F2F