推 lostname:記得之後要改你所有的密碼喔 67.40.212.74 07/21
推 lostname:這是偷密碼的木馬... 67.40.212.74 07/21
> -------------------------------------------------------------------------- <
作者: conerwind (平淡的飛翔) 看板: AntiVirus
標題: Re: [求救]中了 PWSteal.Trojan
時間: Thu Aug 26 22:07:49 2004
※ 引述《gamecheat (狐狸命)》之銘言:
: 今天早上出門時還好好的, 回來就看到nav跳出病毒警示
: 物件名稱:WINDOWS\SYSTEM32\CT1DLL.DLL
: 病毒名稱:PWSteal.Trojan
: 沒辦法刪除
: 賽門鐵克英文網頁看不懂…
: 後來跑到安全模式裡 在掃一次 刪掉了
: (系統還原以關閉)
: 但重開機後,nav又跳出視窗了…
: 試過用ad 6.0掃 但掃不出來…
: 我以沒辦法了…請求高手求救…o_Q"
: 作業系統是xp 感謝~
參考方法如下:
1.安全模式>>>執行>>鍵入regedit>>
hkey_local_machine\software\microsoft\windows\currentversion\run
右邊畫面出現一個檔案名稱為"loadXXX的"(忘了)
將它刪掉(按右鍵選刪除)
2.進入program files 殺掉 rundll32.exe
3.再到C:\windows\system32\ctldll.dll 刪除他
4.重新開機,就不會再彈出警訊了^^
> -------------------------------------------------------------------------- <
作者: charmingc (幻覺藝術) 看板: AntiVirus
標題: Re: [請益] 中毒PWSyeal.Trojan檔案刪不掉
時間: Thu Sep 16 16:52:15 2004
參閱Norton網站
http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.eyoni.html
名稱: PWSteal.Eyoni
說明: PWSteal.Eyoni,是一個會竊取網站密碼的木馬程式,
寄生在瀏覽器Helper Object中,紀錄每一個經由IE開啟的網址和密碼。
類型:木馬
影響平台:Windows 2000, Windows 95, Windows 98,
Windows Me, Windows NT, Windows XP
解決方案:
1. 關閉「系統還原」(Windows Me/XP)
2. 更新您防毒軟體病毒定檔至最新
3. 將電腦重新啟動在安全模式或 VGA 模式
4. 做系統掃描,然後刪除被偵測為病毒的檔案
5. 刪除在登錄機碼增加的值
HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE
HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE.1
HKEY_CLASSES_ROOT\TypeLib\{8CC52A5E-678C-441A-9F3A-7359DAE29EEE}
HKEY_CLASSES_ROOT\Interface\{259C7FDA-02C2-4E14-ACD9-93FE5AA69B92}
HKEY_CLASSES_ROOT\CLSID\{DDDC947A-43F1-446A-A257-632F3ABDC212}
※ 引述《hungary (用補習過大四生活)》之銘言:
: 我電腦偵測到病毒PWSteal.Trojan
: 無法修復
: 病毒警訊的視窗也關不掉
: 怎麼辦...
> -------------------------------------------------------------------------- <
作者: kevinsmile (9/13起,充實過日子ꐩ 看板: AntiVirus
標題: Re: [請益] 中毒PWSyeal.Trojan檔案刪不掉
時間: Fri Sep 17 21:25:50 2004
※ 引述《jbbb (無)》之銘言:
: ※ 引述《charmingc (幻覺藝術)》之銘言:
: : 參閱Norton網站
: : http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.eyoni.html
: : 名稱: PWSteal.Eyoni
: : 說明: PWSteal.Eyoni,是一個會竊取網站密碼的木馬程式,
: : 寄生在瀏覽器Helper Object中,紀錄每一個經由IE開啟的網址和密碼。
: : 類型:木馬
: : 影響平台:Windows 2000, Windows 95, Windows 98,
: : Windows Me, Windows NT, Windows XP
: : 解決方案:
: : 1. 關閉「系統還原」(Windows Me/XP)
: : 2. 更新您防毒軟體病毒定檔至最新
: : 3. 將電腦重新啟動在安全模式或 VGA 模式
: : 4. 做系統掃描,然後刪除被偵測為病毒的檔案
: : 5. 刪除在登錄機碼增加的值
: : HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE
: : HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE.1
: : HKEY_CLASSES_ROOT\TypeLib\{8CC52A5E-678C-441A-9F3A-7359DAE29EEE}
: : HKEY_CLASSES_ROOT\Interface\{259C7FDA-02C2-4E14-ACD9-93FE5AA69B92}
: : HKEY_CLASSES_ROOT\CLSID\{DDDC947A-43F1-446A-A257-632F3ABDC212}
: 我也中了這個木馬,可是並沒有找到以上的機碼耶?
: 可是進入安全模式把這個檔案刪掉後 重開機還是會跑出來
: 這是怎麼一回呢?
1. 按下Ctrl+Alt+Del→工作管理員→處理程序,
找出rundll32.exe→結束處理程序。
2. 開始→搜尋→ct1dll.dll→砍。
3. 開始→搜尋→rundll32.exe→會出現2個或3個
但是不要全部砍掉,
有些是正常的,
選擇C:\Program Files\rundll32.exe,「 60KB」那個→砍。
(執行檔還被歸類為文字檔那個)
4. 搞定,重新開機。
> -------------------------------------------------------------------------- <
作者: chiho (安全帽被偷想報警) 看板: AntiVirus
標題: [建議] PWSteal Trojan解毒方法
時間: Fri Sep 24 15:34:55 2004
我中毒了>< 折騰了幾天NORTON的警告視窗不再跳出來
這個病毒很討厭 好像會變身似的 網路上解毒的方法也好多種
我把各種方法以及我試用各種解毒方法的結果作個彙總(如下A~L) 供大家參考
最後 M 項的部份 是綜合各前輩的解毒經驗 認為可能會有用的方法
但是真的這樣就可以了嗎?? 想麻煩各位高手幫我看看 謝謝!!
===========================================================================
A.賽門鐵克方法(我照步驟作了,可是防毒視窗還是會跳出來)
1.關掉且移除不必要的程式(EX:server相關程式)
2.關閉系統還原(ME,XP才需要)
3.更新病毒檔
4.關機30秒以上
5.安全模式開機(F8 選SAFE MODE)
6.確認掃瞄所有檔案,進行全系統掃瞄,刪掉所有有毒檔案
7.如可刪光所有中毒檔,正常模式重開機
8.如果不可刪光所有中毒檔,採用下列方法一或方法二步驟
方法一...(仍然維持在安全模式)
a.顯示所有檔案
b.如果不在安全模式,關機30秒重開機進入安全模式
c.尋找(包含子資料夾)&刪除
c:下"msdos98.exe"
c:下"uninstallms.exe"
c:下"mine.exe"
c:下"mi*.zip"(例mi29,mine)
c:\windows\system下"readme.txt"
d.重編win.ini
尋找"run="後面全刪
刪除"runrestore"開頭整行
e.找機碼
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
刪除"Windows"="C:\Msdos98.exe"
f.重開機
方法二...MS-DOS模式
a.關機30秒以上重開機按F8進入Safe mode Command Prompt Only
b.在C:\>下執行下列指令(若無發現可跳下一指令)
attrib -r -s -h msdos98.exe
del msdos98.exe
cd windows
attrib -r -s -h uninst~1.exe
del uninst~1.exe
cd system
attrib -r -s -h mine.exe
del mine.exe
attrib -r -s -h readme.txt
del readme.txt
cd \windows
attrib -r -s -h win.ini
edit win.ini
c.重編win.ini
尋找"run="後面全刪
刪除"runrestore" 開頭整行
d.關機30秒重開機進入安全模式
e.找機碼
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
刪除"Windows"="C:\Msdos98.exe"
f.重開機
============================================================================
B.用Trojan remover(沒嚐試因為這個不是免費軟體)
============================================================================
C.用ADaware(我試了 找到一些有問題的網頁暫存檔及cookie)
============================================================================
D.用木馬剋星(還沒嚐試就修好了)
============================================================================
E.用SpyBot Search & Destroy(我試了找到兩個有問題的機碼
刪除後重掃 其中一個又出現有問題
再刪除 再重掃 才沒再說有問題)
============================================================================
F.網路方法一(我沒有發現步驟2的敘述 所以只作了步驟 3~6
之後NORTON的防毒視窗 從原本跳出三次 減少為只跳出1次)
1.重新開機, 進入安全模式
2.執行 regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
刪除關於 LoadMect1 的敘述
3.用檔案總管刪除 c:\Program Files\ 下的 rundll32.exe, install.log
4.刪除 c:\windows\system\ct1dll.dll
5.如果以上步驟還是會出現, 下載 rundll32.exe 複製到 c:\windows\
6.下載rundll32.exe網址http://www.zzz.com.tw/qanda/rundll32.exe
(摘自http://www.zzz.com.tw/qanda/)
============================================================================
G.網路方法二(看到之後再插入光碟片 就沒敢嚐試用這種方法了)
1.搜尋電腦內有無ct1dll.dll檔案
2.找不到的,用norton的人,查查 報告=>隔離的檔案=>備份項目,刪除。
3.按下Ctrl+Alt+Del,選擇 工作管理員=>處理程式,找出rundll32.exe結束處理
4.再重新搜尋ct1dll.dll刪除
5.搜尋rundll32.exe刪除C:\Program Files\rundll32.exe 60KB
6.另外有人留下其他說法
a.搜尋systray.exe
b.刪除
C:\WINNT\system32\systray.exe 4KB
C:\WINNT\system32\dllcache\systray.exe 4KB
刪除後出現要插windows光碟片了
============================================================================
H.網路方法三(可是我rundll32.exe已經刪除了-.-" 所以只好放棄這種方法)
1.C:\Program Files\rundll32.exe ,
C:\Program Files\internat.exe
這兩個程式不能刪除,因為此病毒是將windows原版兩個程式放在這個資料夾裡
而將他自己的病毒偽裝成上述那兩支程式
然後置放於c:\windows\rundll32.exe和c:\windows\system\internat.exe
2.所以正確解毒方法為
a.先將c:\program files資料夾裡面的rundll32.exe和internat.exe兩支程式
屬性修改成為一般
b.重新開機按F8選擇DOS安全模式
c.在c:\>下輸入copy c:\program~1\rundll32.exe c:\windows 執行覆蓋
d.copy c:\program~1\internat.exe c:\windows\system 執行覆蓋
e.刪除c:\windows\system\ct1dll.dll此檔
f.重新開機
============================================================================
I.網路方法四(據說測試過WIN200&XP皆有效 但我的是98se 找不到這個方法裡的項目)
1.進入安全模式
2.啟用登錄管理員(開始->執行->輸入REGEDIT)
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
裡面的所有項目刪除
4.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\
MyComputer\Internet把Internet刪除
5.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
刪除這個兩個項目
6.重新啟動電腦
============================================================================
J.網路方法五(我的步驟2找到一些load開頭的東西 但不是很確定 所以放棄這種方法)
1.進入安全模式
2.hkey_local_machine\software\microsoft\windows\currentversion\run
右邊load開頭刪除
3.刪除c:\program files下 rundll32.exe
4.刪除c:\windows\system32\ctldll.dll
5.重新開機
============================================================================
K.網路方法六(我的步驟2找到一些load開頭的東西 但不是很確定 所以放棄這種方法)
1.把c:/program files/rundll32.dll剪下貼到c:/windows的目錄下
2.把c:/windows/system/ct1dll.dll
c:/windows/system/internat.exe(記事本的圖案)
刪除
3.把c:/program files/internat.exe(問號圖案)剪下貼到c:/windows/system目錄下
4.重新開機
============================================================================
L.網路方法七(要確認的檔案太多 確認到一半 就放棄了)
1.到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion每個檔案確認
2.exe file logo轉做wordpad的logo有問題
============================================================================
M.我的解毒方法(分別穿插用了之前很多前輩的經驗)
1.關機30秒以上
2.重開機進入安全模式
3.進入NORTON的隔離檔案區將所有隔離檔案刪除
4.刪除c:\Program Files\ 下的 rundll32.exe, install.log
5.將自http://www.zzz.com.tw/qanda/rundll32.exe.下載的rundll32.exe
複製到c:\windows\
5.把c:/program files/internat.exe(問號圖案)剪下貼到c:/windows/system目錄下
採用覆蓋
6.用A賽門鐵克解毒方法檢查一次
7.用ADaware再檢查一次
8.搜尋c:下所有.exe的檔案,檢查除了notepad.exe、wordpad.exe及write.exe以外
是否還有.exe執行檔是有notepad或wordpad圖示的
9.用NORTON全系統掃描檢查最後一次
============================================================================
結論:中毒真麻煩><
> -------------------------------------------------------------------------- <
作者: gtoik (六年九班的命運) 看板: AntiVirus
標題: [方案] PWSteal Trojan病毒
時間: Fri Oct 22 04:08:18 2004
小弟PO一下 成功解掉PWSteal Trojan病毒的過程吧
上了賽門鐵客的網站看到的說明
1.關掉系統復原的功能(XP系統)
2.進安全模式(單純的安全模式喔)
3.掃毒(我用NORTON 2003,病毒碼已更新)
4.把病毒刪除(掃完全系統後可以直接刪除,不放心 就再掃毒一次)
5.重新開機 就OK囉
以上是我做過的步驟,因為我爬文後的一些解法 都不能成功的解毒,剛好有板友有這病毒
的困擾 所以就PO囉 希望大家都可以不澳被病毒騷擾囉
> -------------------------------------------------------------------------- <
作者: kazimy (Let it be) 看板: AntiVirus
標題: Re: [求救] PWSteal.Trojan病毒
時間: Thu Nov 25 16:56:06 2004
前一陣子上中華職棒網站我曾經中過這個木馬
有位大大教我這樣解的...看看能不能幫助你^^
>>
1.重新開機後進入安全模式(按F8),按開始 -> 執行 -> 輸入regedit -> 進入:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window\Currentversion\Run
右邊有一個檔案是loadMect1,把他刪除
2.進入C:\Program Files 查看,把rundll32.exe、install.log(註)都刪除
3.到C:\Windows\SYSTEM32\ctidll.dll <-刪除
4.清理資源回收桶
註:我執行步驟2時只找到rundll32.exe
順帶一提,我受感染的檔案是C:\Windows\SYSTEM32\ctidll.dll
他雖然是ctidll.dll<-- 有的人是ct1dll.dll..可是還是可以用..我自己的就這樣解開了
> -------------------------------------------------------------------------- <
作者: Berotec (網路線實在是插不緊) 看板: AntiVirus
標題: Re: [求救] PWSteal.Trojan病毒
時間: Fri Nov 26 13:21:07 2004
試試看以下的辦法吧(精華區好像也有)
當然要先貼個網址給您看看
http://www.symantec.com/avcenter/venc/data/pwsteal.trojan.html
裡面還有shockwave的flash動畫刪除法~ ~ ,不過有點可惜是98的
http://www.symantec.com/techsupp/virusremoval/virusremoval_info_tutorial.html
另外個人懷疑您不只中一個病毒
順便一再說,您已安裝了網路實名,記得到新增移除程式裡把它幹掉吧
==
以下開始是正文,您應該是xp的,所以步驟少了不少
1.第一步一樣是關閉系統還原
2.將作業系統重新開機至安全模式(請再次確定系統還原已經關閉)
3.再來請至資料夾選項中,選擇顯示所有檔案
4.接下來尋找下列這些檔案,搜索檔案時請務必確定有搜索
a.系統資料夾 b.子資料夾 c.隱藏檔及隱藏資料夾
msdos98.exe , uninstallms.exe , mine.exe , mi*.zip , readme.txt
注意readme.txt只要刪除位於C:\Windows\system32裡的就好
如果有搜索到上述的檔案,請把它刪除
5.接下來,按下Ctrl+Alt+Del,把windows工作管理員叫出來
移到處理程序那裡,然後確實的把影像名稱的檔案完全展開
6.檢查處理程序中,有無執行程序的檔名和您使用Norton AntiVirus掃出被感染
此木馬的檔名相同,如果有的話,請終止該執行程序
7.再執行全系統掃一次,請刪除所有被感染的檔案
8.接下來要刪除不良的機碼,請先到登錄編輯程式的視窗
到以下的位置 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
看看右半邊的視窗把下列的東西給刪除掉
"Windows"="C:\Msdos98.exe"
9.關閉登錄編輯程式,並重新開機
==
如果,htdll.dll這個檔案還是一再的出現的話
請把檔案刪除掉,自己創一個新的htdll.dll
同時把它改成唯讀
==
再給您的建議,防毒軟體,灌一套即可
==
大手筆
把下列的給刪除掉,當然請先到安全模式
C:\WINDOWS\system32\exploret.exe
==
以下的部份請再掃一次那個Hxxxx
□R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} -
C:\WINDOWS\DOWNLO~1\CnsHook.dll
□F3 - REG:win.ini: load=C:\WINDOWS\System32\exploret.exe
□O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\雜
\FlashGet\Jccatch.dll (file missing)
□O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} -
C:\WINDOWS\System32\nvms.dll
□O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} -
C:\WINDOWS\System32\mscb.dll
□O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} -
C:\WINDOWS\DOWNLO~1\CnsHook.dll
□O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\3721\helper.dll,Rundll32
□O4 - HKLM\..\Run: [loadMect1] C:\Program Files\explorer.exe
□O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common
Files\WinTools\WToolsA.exe
□O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe
□O4 - HKCU\..\Run: [prmtect] C:\WINDOWS\System32\prmtect.exe
□O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
□O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
□O9 - Extra button: 手機短信 - {00000000-0000-0001-0001-596BAEDD1289} -
http://sms.3721.com/ie/index.htm?pid=U_eaini_5398 (file missing)
□O9 - Extra 'Tools' menuitem: &FlashGet -
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3}-
D:\PROGRA~1\FLASHGET\flashget.exe (file missing)
□O9 - Extra button: 啃勀芞踱 - {6713E8D2-850A-101B-AFC0-4210102A8DA7} -
http://www.pic.con.cn (file missing) (HKCU)
□O9 - Extra button: 鍊汒芞⑵狟婥 - {7713E8D2-850A-101B-AFC0-4210102A8DA7} -
http://www.7169.com/sms/index.htm (file missing) (HKCU)
□O14 - IERESET.INF: START_PAGE_URL=http://www.msn.com.tw
□O14 - IERESET.INF: START_PAGE_URL=http://www.msn.com.tw
□O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT!
http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexTW596.exe
□O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} -
http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab
以上這些,請在前面的□打勾,然後按下fix-checked
==
1.裡面有些東西可以藉由Spybot S&D 刪除掉;
另外,如果您的狀況是這樣的話,建議您ad-adware也可以掃一掃了
2.基本上,裡面應該還有其他的病毒存在才對,或許您的諾頓談出的視窗
是警告您還有別的中毒檔案
> -------------------------------------------------------------------------- <
作者: arslangi (sideless) 看板: AntiVirus
標題: Re: [求救] 中了pwsteal.trojan,請幫幫忙
時間: Fri Jan 14 11:48:56 2005
※ 引述《otss26 (i still believe)》之銘言:
請搜尋下面檔案並刪除,若刪不掉,進安全模式刪 (重開機後按F8)
C:\Program Files\explorer.exe
c:\windows\system32\htdll.dll
HijackThis scan 後,將下面項目刪除
O4 - HKLM\..\Run: [loadMect1] C:\Program Files\explorer.exe
> -------------------------------------------------------------------------- <
作者: kilinyo (龍魂不滅 N N ) 看板: AntiVirus
標題: Re: [求救] 中了pwsteal.trojan,請幫幫忙
時間: Fri Jan 14 11:56:44 2005
※ 引述《arslangi (sideless)》之銘言:
: ※ 引述《otss26 (i still believe)》之銘言:
: 請搜尋下面檔案並刪除,若刪不掉,進安全模式刪 (重開機後按F8)
: C:\Program Files\explorer.exe
^^^^^^^^^^^^^
曾經幫我表姊解過一次PWSteal.Trojan
這個explorer.exe不像一般的執行檔
反到像一個記事本的樣子
很好認
: c:\windows\system32\htdll.dll
: HijackThis scan 後,將下面項目刪除
: O4 - HKLM\..\Run: [loadMect1] C:\Program Files\explorer.exe
> -------------------------------------------------------------------------- <
作者: liukh (小皓) 看板: AntiVirus
標題: [方案]重新轉貼天堂木馬病毒PWSteal.Trojan刪除法-簡易版
時間: Wed Mar 16 12:51:03 2005
轉貼來源微風論壇 Promise8 所發表
http://bbs.wefong.com/viewthread.php?tid=283962&extra=page%3D1
受感染C:\windows\ system32\htdll.dll
PWSteal.Trojan
可以使用 以下僅適用於 XP 系統,而在執行以下所有動作時,也請在先至「我的電腦」
→「控制台」→「系統」→「系統還原」,執行「關閉所有系統還原」,並且重新開機進
入安全模式。
安全模式可再開機時按F8….或在Windos 下執行msconfig 點選裡面ㄉSAFEBOOT 框框在重
開機就可進入安全模式 解除實在重安全模式裡執行上面ㄉ步驟把框框按掉重開機就可
使用掃毒程式,查詢出目前所有已感染 PWSteal.Trojan 之檔案,並且使用刪除的方式,
將檔案移除。
使用「Ctrl + Alt + Delete」,將 rundll32.exe 停止執行。
依序檢查以下檔案,若是有存在,請將其刪除。
C:\Program Files\rundll32.exe(60K左右)
C:\windows\system32\htdll.dll
C:\Program Files\iexpoloer.exe
C:\windows\iexpoloer.exe
C:\windows\system32\exploret.exe
C:\windows\system32\systemlt.dll
請在「開始」→「執行」,打入 regedit.exe,先備份原始機碼。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有
rundll32.exe 後面沒有任何參數的,請刪除之。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
請刪除。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadXXXX後面
的忘記了~請刪除請以 exploret.exe 為關鍵字,將所有相關機碼都刪除掉。
重新開機後,原則上就解毒成功了!
這篇文章照著做 應該很簡單
綜合刪除病毒法
PS.卡巴斯基防毒在普通模式照樣砍掉 ^ ^
> -------------------------------------------------------------------------- <
作者: hotwu123 (...) 看板: AntiVirus
標題: Re: [求救] 中了PWSteal.trogan
時間: Sun Apr 17 20:49:49 2005
※ 引述《boaro (蟹蟹女孩)》之銘言:
: ※ 引述《kowkow (嘿嘿)》之銘言:
: : 我也是重ㄌ這依樣ㄉ病毒物件位置也相同
: : 但我研究ㄌ 之前ㄉ方法都解不掉
: : 哪位大哥可以幫幫忙押^^??
: 我今天一開機 若頓就顯示說中毒了
: 病毒與上位版友一樣 但是我按修復 修復不了
: 所以若頓就幫我隔離掉了 不知道這樣對電腦會不會有影響呢
: 奇怪 也沒去非法不良網站 怎麼最近會頻頻中毒勒
: 我好怕中毒喔
1.先重開機..先別把毒殺掉...然後把它重開....然後狂案"F8"進入安全模式
2.壓開始->執行->%systemroot%
(這各指令是要進入安裝windows的目錄有的人是winnt有ㄉ人是windows)
3.工具->資料夾選項->檢視->把顯示所有資料夾跟檔案打勾,
把隱藏保護的作業系統檔案的勾取消
4.找到下列四各檔案 use32.dll kernerl32.dll
inertinfo.exe interinfo.exe 把這四各檔案刪除
5.執行regedit 尋找inertinfo.exe 只要找到就刪除
6.刪除完~"記的清空垃圾桶喔"..不然開機後又會有殺豬的叫聲....因為毒在垃圾桶
7.重開機 一切就大功告成~~
以上是我在網路上找到的..我也中了一樣的毒..按照上面步驟作就解掉了