※ 引述《tomo16248 (俐:真是大豬頭~)》之銘言： : 我在網路上掃毒 : 他掃最後 說我中了一個病毒 : c:\WINDOWS\SmcSVR.exe 感染了 PWSteal.Trojan : 請問些接下來要如何處理 我是WIN98的 : 幫幫我喔>"< : 謝謝大家 http://www.symantec.com/avcenter/venc/data/pwsteal.trojan.html -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.142.15.248 > -------------------------------------------------------------------------- < 作者: conerwind (平淡的飛翔) 看板: AntiVirus 標題: Re: [求救]中了 PWSteal.Trojan 時間: Thu Aug 26 22:07:49 2004 ※ 引述《gamecheat (狐狸命)》之銘言： : 今天早上出門時還好好的， 回來就看到nav跳出病毒警示 : 物件名稱：WINDOWS\SYSTEM32\CT1DLL.DLL : 病毒名稱：PWSteal.Trojan : 沒辦法刪除 : 賽門鐵克英文網頁看不懂… : 後來跑到安全模式裡 在掃一次 刪掉了 : (系統還原以關閉) : 但重開機後，nav又跳出視窗了… : 試過用ad 6.0掃 但掃不出來… : 我以沒辦法了…請求高手求救…o_Q" : 作業系統是xp 感謝~ 參考方法如下: 1.安全模式>>>執行>>鍵入regedit>> hkey_local_machine\software\microsoft\windows\currentversion\run 右邊畫面出現一個檔案名稱為"loadXXX的"(忘了) 將它刪掉(按右鍵選刪除) 2.進入program files 殺掉 rundll32.exe 3.再到C:\windows\system32\ctldll.dll 刪除他 4.重新開機，就不會再彈出警訊了^^ > -------------------------------------------------------------------------- < 作者: charmingc (幻覺藝術) 看板: AntiVirus 標題: Re: [請益] 中毒PWSyeal.Trojan檔案刪不掉 時間: Thu Sep 16 16:52:15 2004 參閱Norton網站 http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.eyoni.html 名稱： PWSteal.Eyoni 說明： PWSteal.Eyoni，是一個會竊取網站密碼的木馬程式， 寄生在瀏覽器Helper Object中，紀錄每一個經由IE開啟的網址和密碼。 類型：木馬 影響平台：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 解決方案： 1. 關閉「系統還原」(Windows Me/XP) 2. 更新您防毒軟體病毒定檔至最新 3. 將電腦重新啟動在安全模式或 VGA 模式 4. 做系統掃描，然後刪除被偵測為病毒的檔案 5. 刪除在登錄機碼增加的值 HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE.1 HKEY_CLASSES_ROOT\TypeLib\{8CC52A5E-678C-441A-9F3A-7359DAE29EEE} HKEY_CLASSES_ROOT\Interface\{259C7FDA-02C2-4E14-ACD9-93FE5AA69B92} HKEY_CLASSES_ROOT\CLSID\{DDDC947A-43F1-446A-A257-632F3ABDC212} ※ 引述《hungary (用補習過大四生活)》之銘言： : 我電腦偵測到病毒PWSteal.Trojan : 無法修復 : 病毒警訊的視窗也關不掉 : 怎麼辦... > -------------------------------------------------------------------------- < 作者: kevinsmile (9/13起，充實過日子ꐩ 看板: AntiVirus 標題: Re: [請益] 中毒PWSyeal.Trojan檔案刪不掉 時間: Fri Sep 17 21:25:50 2004 ※ 引述《jbbb (無)》之銘言： : ※ 引述《charmingc (幻覺藝術)》之銘言： : : 參閱Norton網站 : : http://securityresponse.symantec.com/avcenter/venc/data/pwsteal.eyoni.html : : 名稱： PWSteal.Eyoni : : 說明： PWSteal.Eyoni，是一個會竊取網站密碼的木馬程式， : : 寄生在瀏覽器Helper Object中，紀錄每一個經由IE開啟的網址和密碼。 : : 類型：木馬 : : 影響平台：Windows 2000, Windows 95, Windows 98, : : Windows Me, Windows NT, Windows XP : : 解決方案： : : 1. 關閉「系統還原」(Windows Me/XP) : : 2. 更新您防毒軟體病毒定檔至最新 : : 3. 將電腦重新啟動在安全模式或 VGA 模式 : : 4. 做系統掃描，然後刪除被偵測為病毒的檔案 : : 5. 刪除在登錄機碼增加的值 : : HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE : : HKEY_CLASSES_ROOT\BhoPlugin.EyeOnIE.1 : : HKEY_CLASSES_ROOT\TypeLib\{8CC52A5E-678C-441A-9F3A-7359DAE29EEE} : : HKEY_CLASSES_ROOT\Interface\{259C7FDA-02C2-4E14-ACD9-93FE5AA69B92} : : HKEY_CLASSES_ROOT\CLSID\{DDDC947A-43F1-446A-A257-632F3ABDC212} : 我也中了這個木馬，可是並沒有找到以上的機碼耶？ : 可是進入安全模式把這個檔案刪掉後 重開機還是會跑出來 : 這是怎麼一回呢？ 1. 按下Ctrl+Alt+Del→工作管理員→處理程序， 找出rundll32.exe→結束處理程序。 2. 開始→搜尋→ct1dll.dll→砍。 3. 開始→搜尋→rundll32.exe→會出現2個或3個 但是不要全部砍掉， 有些是正常的， 選擇C:\Program Files\rundll32.exe，「 60KB」那個→砍。 (執行檔還被歸類為文字檔那個) 4. 搞定，重新開機。 > -------------------------------------------------------------------------- < 作者: chiho (安全帽被偷想報警) 看板: AntiVirus 標題: [建議] PWSteal Trojan解毒方法 時間: Fri Sep 24 15:34:55 2004 我中毒了>< 折騰了幾天NORTON的警告視窗不再跳出來 這個病毒很討厭 好像會變身似的 網路上解毒的方法也好多種 我把各種方法以及我試用各種解毒方法的結果作個彙總(如下A~L) 供大家參考 最後 M 項的部份 是綜合各前輩的解毒經驗 認為可能會有用的方法 但是真的這樣就可以了嗎?? 想麻煩各位高手幫我看看 謝謝!! =========================================================================== A.賽門鐵克方法（我照步驟作了，可是防毒視窗還是會跳出來） 1.關掉且移除不必要的程式（EX：server相關程式） 2.關閉系統還原（ME，XP才需要） 3.更新病毒檔 4.關機30秒以上 5.安全模式開機（F8 選SAFE MODE） 6.確認掃瞄所有檔案，進行全系統掃瞄，刪掉所有有毒檔案 7.如可刪光所有中毒檔，正常模式重開機 8.如果不可刪光所有中毒檔，採用下列方法一或方法二步驟 方法一...(仍然維持在安全模式) a.顯示所有檔案 b.如果不在安全模式，關機30秒重開機進入安全模式 c.尋找（包含子資料夾）&刪除 c:下"msdos98.exe" c:下"uninstallms.exe" c:下"mine.exe" c:下"mi*.zip"（例mi29，mine） c:\windows\system下"readme.txt" d.重編win.ini 尋找"run="後面全刪 刪除"runrestore"開頭整行 e.找機碼 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 刪除"Windows"="C:\Msdos98.exe" f.重開機 方法二...MS-DOS模式 a.關機30秒以上重開機按F8進入Safe mode Command Prompt Only b.在C:\>下執行下列指令（若無發現可跳下一指令） attrib -r -s -h msdos98.exe del msdos98.exe cd windows attrib -r -s -h uninst~1.exe del uninst~1.exe cd system attrib -r -s -h mine.exe del mine.exe attrib -r -s -h readme.txt del readme.txt cd \windows attrib -r -s -h win.ini edit win.ini c.重編win.ini 尋找"run="後面全刪 刪除"runrestore" 開頭整行 d.關機30秒重開機進入安全模式 e.找機碼 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 刪除"Windows"="C:\Msdos98.exe" f.重開機 ============================================================================ B.用Trojan remover（沒嚐試因為這個不是免費軟體） ============================================================================ C.用ADaware（我試了 找到一些有問題的網頁暫存檔及cookie） ============================================================================ D.用木馬剋星（還沒嚐試就修好了） ============================================================================ E.用SpyBot Search & Destroy（我試了找到兩個有問題的機碼 刪除後重掃 其中一個又出現有問題 再刪除 再重掃 才沒再說有問題） ============================================================================ F.網路方法一（我沒有發現步驟2的敘述 所以只作了步驟 3~6 之後NORTON的防毒視窗 從原本跳出三次 減少為只跳出1次） 1.重新開機, 進入安全模式 2.執行 regedit HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 刪除關於 LoadMect1 的敘述 3.用檔案總管刪除 c:\Program Files\ 下的 rundll32.exe, install.log 4.刪除 c:\windows\system\ct1dll.dll 5.如果以上步驟還是會出現, 下載 rundll32.exe 複製到 c:\windows\ 6.下載rundll32.exe網址http://www.zzz.com.tw/qanda/rundll32.exe （摘自http://www.zzz.com.tw/qanda/） ============================================================================ G.網路方法二（看到之後再插入光碟片 就沒敢嚐試用這種方法了） 1.搜尋電腦內有無ct1dll.dll檔案 2.找不到的，用norton的人，查查 報告=>隔離的檔案=>備份項目，刪除。 3.按下Ctrl+Alt+Del,選擇 工作管理員=>處理程式，找出rundll32.exe結束處理 4.再重新搜尋ct1dll.dll刪除 5.搜尋rundll32.exe刪除C:\Program Files\rundll32.exe 60KB 6.另外有人留下其他說法 a.搜尋systray.exe b.刪除 C:\WINNT\system32\systray.exe 4KB C:\WINNT\system32\dllcache\systray.exe 4KB 刪除後出現要插windows光碟片了 ============================================================================ H.網路方法三（可是我rundll32.exe已經刪除了-.-" 所以只好放棄這種方法） 1.C:\Program Files\rundll32.exe , C:\Program Files\internat.exe 這兩個程式不能刪除，因為此病毒是將windows原版兩個程式放在這個資料夾裡 而將他自己的病毒偽裝成上述那兩支程式 然後置放於c:\windows\rundll32.exe和c:\windows\system\internat.exe 2.所以正確解毒方法為 a.先將c:\program files資料夾裡面的rundll32.exe和internat.exe兩支程式 屬性修改成為一般 b.重新開機按F8選擇DOS安全模式 c.在c:\>下輸入copy c:\program~1\rundll32.exe c:\windows 執行覆蓋 d.copy c:\program~1\internat.exe c:\windows\system 執行覆蓋 e.刪除c:\windows\system\ct1dll.dll此檔 f.重新開機 ============================================================================ I.網路方法四（據說測試過WIN200&XP皆有效 但我的是98se 找不到這個方法裡的項目） 1.進入安全模式 2.啟用登錄管理員(開始->執行->輸入REGEDIT) 3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 裡面的所有項目刪除 4.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ MyComputer\Internet把Internet刪除 5.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule 刪除這個兩個項目 6.重新啟動電腦 ============================================================================ J.網路方法五（我的步驟2找到一些load開頭的東西 但不是很確定 所以放棄這種方法） 1.進入安全模式 2.hkey_local_machine\software\microsoft\windows\currentversion\run 右邊load開頭刪除 3.刪除c:\program files下 rundll32.exe 4.刪除c:\windows\system32\ctldll.dll 5.重新開機 ============================================================================ K.網路方法六（我的步驟2找到一些load開頭的東西 但不是很確定 所以放棄這種方法） 1.把c:/program files/rundll32.dll剪下貼到c:/windows的目錄下 2.把c:/windows/system/ct1dll.dll c:/windows/system/internat.exe(記事本的圖案) 刪除 3.把c:/program files/internat.exe(問號圖案)剪下貼到c:/windows/system目錄下 4.重新開機 ============================================================================ L.網路方法七（要確認的檔案太多 確認到一半 就放棄了） 1.到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion每個檔案確認 2.exe file logo轉做wordpad的logo有問題 ============================================================================ M.我的解毒方法（分別穿插用了之前很多前輩的經驗） 1.關機30秒以上 2.重開機進入安全模式 3.進入NORTON的隔離檔案區將所有隔離檔案刪除 4.刪除c:\Program Files\ 下的 rundll32.exe, install.log 5.將自http://www.zzz.com.tw/qanda/rundll32.exe.下載的rundll32.exe 複製到c:\windows\ 5.把c:/program files/internat.exe(問號圖案)剪下貼到c:/windows/system目錄下 採用覆蓋 6.用A賽門鐵克解毒方法檢查一次 7.用ADaware再檢查一次 8.搜尋c:下所有.exe的檔案，檢查除了notepad.exe、wordpad.exe及write.exe以外 是否還有.exe執行檔是有notepad或wordpad圖示的 9.用NORTON全系統掃描檢查最後一次 ============================================================================ 結論：中毒真麻煩>< > -------------------------------------------------------------------------- < 作者: gtoik (六年九班的命運) 看板: AntiVirus 標題: [方案] PWSteal Trojan病毒 時間: Fri Oct 22 04:08:18 2004 小弟PO一下 成功解掉PWSteal Trojan病毒的過程吧 上了賽門鐵客的網站看到的說明 1.關掉系統復原的功能(XP系統) 2.進安全模式(單純的安全模式喔) 3.掃毒(我用NORTON 2003,病毒碼已更新) 4.把病毒刪除(掃完全系統後可以直接刪除,不放心 就再掃毒一次) 5.重新開機 就OK囉 以上是我做過的步驟,因為我爬文後的一些解法 都不能成功的解毒,剛好有板友有這病毒 的困擾 所以就PO囉 希望大家都可以不澳被病毒騷擾囉 > -------------------------------------------------------------------------- < 作者: kazimy (Let it be) 看板: AntiVirus 標題: Re: [求救] PWSteal.Trojan病毒 時間: Thu Nov 25 16:56:06 2004 前一陣子上中華職棒網站我曾經中過這個木馬 有位大大教我這樣解的...看看能不能幫助你^^ >> 1.重新開機後進入安全模式(按F8),按開始 -> 執行 -> 輸入regedit -> 進入: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Window\Currentversion\Run 右邊有一個檔案是loadMect1,把他刪除 2.進入C:\Program Files 查看,把rundll32.exe、install.log(註)都刪除 3.到C:\Windows\SYSTEM32\ctidll.dll <-刪除 4.清理資源回收桶 註:我執行步驟2時只找到rundll32.exe 順帶一提,我受感染的檔案是C:\Windows\SYSTEM32\ctidll.dll 他雖然是ctidll.dll<-- 有的人是ct1dll.dll..可是還是可以用..我自己的就這樣解開了 > -------------------------------------------------------------------------- < 作者: Berotec (網路線實在是插不緊) 看板: AntiVirus 標題: Re: [求救] PWSteal.Trojan病毒 時間: Fri Nov 26 13:21:07 2004 試試看以下的辦法吧(精華區好像也有) 當然要先貼個網址給您看看 http://www.symantec.com/avcenter/venc/data/pwsteal.trojan.html 裡面還有shockwave的flash動畫刪除法~ ~ ,不過有點可惜是98的 http://www.symantec.com/techsupp/virusremoval/virusremoval_info_tutorial.html 另外個人懷疑您不只中一個病毒 順便一再說,您已安裝了網路實名,記得到新增移除程式裡把它幹掉吧 == 以下開始是正文,您應該是xp的,所以步驟少了不少 1.第一步一樣是關閉系統還原 2.將作業系統重新開機至安全模式(請再次確定系統還原已經關閉) 3.再來請至資料夾選項中,選擇顯示所有檔案 4.接下來尋找下列這些檔案,搜索檔案時請務必確定有搜索 a.系統資料夾 b.子資料夾 c.隱藏檔及隱藏資料夾 msdos98.exe , uninstallms.exe , mine.exe , mi*.zip , readme.txt 注意readme.txt只要刪除位於C:\Windows\system32裡的就好 如果有搜索到上述的檔案,請把它刪除 5.接下來,按下Ctrl+Alt+Del,把windows工作管理員叫出來 移到處理程序那裡,然後確實的把影像名稱的檔案完全展開 6.檢查處理程序中,有無執行程序的檔名和您使用Norton AntiVirus掃出被感染 此木馬的檔名相同,如果有的話,請終止該執行程序 7.再執行全系統掃一次,請刪除所有被感染的檔案 8.接下來要刪除不良的機碼,請先到登錄編輯程式的視窗 到以下的位置 HKLM\Software\Microsoft\Windows\CurrentVersion\Run 看看右半邊的視窗把下列的東西給刪除掉 "Windows"="C:\Msdos98.exe" 9.關閉登錄編輯程式,並重新開機 == 如果,htdll.dll這個檔案還是一再的出現的話 請把檔案刪除掉,自己創一個新的htdll.dll 同時把它改成唯讀 == 再給您的建議,防毒軟體,灌一套即可 == 大手筆 把下列的給刪除掉,當然請先到安全模式 C:\WINDOWS\system32\exploret.exe == 以下的部份請再掃一次那個Hxxxx □R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll □F3 - REG:win.ini: load=C:\WINDOWS\System32\exploret.exe □O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\雜 \FlashGet\Jccatch.dll (file missing) □O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll □O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll □O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll □O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 □O4 - HKLM\..\Run: [loadMect1] C:\Program Files\explorer.exe □O4 - HKLM\..\Run: [WinTools] C:\Program Files\Common Files\WinTools\WToolsA.exe □O4 - HKLM\..\Run: [TBPS] C:\PROGRA~1\Toolbar\TBPS.exe □O4 - HKCU\..\Run: [prmtect] C:\WINDOWS\System32\prmtect.exe □O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present □O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present □O9 - Extra button: 手機短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_eaini_5398 (file missing) □O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}- D:\PROGRA~1\FLASHGET\flashget.exe (file missing) □O9 - Extra button: 啃勀芞踱 - {6713E8D2-850A-101B-AFC0-4210102A8DA7} - http://www.pic.con.cn (file missing) (HKCU) □O9 - Extra button: 鍊汒芞⑵狟婥 - {7713E8D2-850A-101B-AFC0-4210102A8DA7} - http://www.7169.com/sms/index.htm (file missing) (HKCU) □O14 - IERESET.INF: START_PAGE_URL=http://www.msn.com.tw □O14 - IERESET.INF: START_PAGE_URL=http://www.msn.com.tw □O16 - DPF: {11111111-1111-1111-1111-111111111111} - mhtml:file://C:NXSFT.MHT! http://66.117.38.54:80/iex/ofile.exe?url=http://66.117.38.54:80/dexTW596.exe □O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab 以上這些,請在前面的□打勾,然後按下fix-checked == 1.裡面有些東西可以藉由Spybot S&D 刪除掉; 另外,如果您的狀況是這樣的話,建議您ad-adware也可以掃一掃了 2.基本上,裡面應該還有其他的病毒存在才對,或許您的諾頓談出的視窗 是警告您還有別的中毒檔案 > -------------------------------------------------------------------------- < 作者: arslangi (sideless) 看板: AntiVirus 標題: Re: [求救] 中了pwsteal.trojan，請幫幫忙 時間: Fri Jan 14 11:48:56 2005 ※ 引述《otss26 (i still believe)》之銘言： 請搜尋下面檔案並刪除,若刪不掉,進安全模式刪 (重開機後按F8) C:\Program Files\explorer.exe c:\windows\system32\htdll.dll HijackThis scan 後,將下面項目刪除 O4 - HKLM\..\Run: [loadMect1] C:\Program Files\explorer.exe > -------------------------------------------------------------------------- < 作者: kilinyo (龍魂不滅 ￾N￾ N ) 看板: AntiVirus 標題: Re: [求救] 中了pwsteal.trojan，請幫幫忙 時間: Fri Jan 14 11:56:44 2005 ※ 引述《arslangi (sideless)》之銘言： : ※ 引述《otss26 (i still believe)》之銘言： : 請搜尋下面檔案並刪除,若刪不掉,進安全模式刪 (重開機後按F8) : C:\Program Files\explorer.exe ^^^^^^^^^^^^^ 曾經幫我表姊解過一次PWSteal.Trojan 這個explorer.exe不像一般的執行檔 反到像一個記事本的樣子 很好認 : c:\windows\system32\htdll.dll : HijackThis scan 後,將下面項目刪除 : O4 - HKLM\..\Run: [loadMect1] C:\Program Files\explorer.exe > -------------------------------------------------------------------------- < 作者: liukh (小皓) 看板: AntiVirus 標題: [方案]重新轉貼天堂木馬病毒PWSteal.Trojan刪除法-簡易版 時間: Wed Mar 16 12:51:03 2005 轉貼來源微風論壇 Promise8 所發表 http://bbs.wefong.com/viewthread.php?tid=283962&extra=page%3D1 受感染C:\windows\ system32\htdll.dll PWSteal.Trojan 可以使用 以下僅適用於 XP 系統，而在執行以下所有動作時，也請在先至「我的電腦」 →「控制台」→「系統」→「系統還原」，執行「關閉所有系統還原」，並且重新開機進 入安全模式。 安全模式可再開機時按F8….或在Windos 下執行msconfig 點選裡面ㄉSAFEBOOT 框框在重 開機就可進入安全模式 解除實在重安全模式裡執行上面ㄉ步驟把框框按掉重開機就可 使用掃毒程式，查詢出目前所有已感染 PWSteal.Trojan 之檔案，並且使用刪除的方式， 將檔案移除。 使用「Ctrl + Alt + Delete」，將 rundll32.exe 停止執行。 依序檢查以下檔案，若是有存在，請將其刪除。 C:\Program Files\rundll32.exe（60K左右） C:\windows\system32\htdll.dll C:\Program Files\iexpoloer.exe C:\windows\iexpoloer.exe C:\windows\system32\exploret.exe C:\windows\system32\systemlt.dll 請在「開始」→「執行」，打入 regedit.exe，先備份原始機碼。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有 rundll32.exe 後面沒有任何參數的，請刪除之。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule 請刪除。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadXXXX後面 的忘記了~請刪除請以 exploret.exe 為關鍵字，將所有相關機碼都刪除掉。 　　重新開機後，原則上就解毒成功了！ 這篇文章照著做 應該很簡單 綜合刪除病毒法 PS.卡巴斯基防毒在普通模式照樣砍掉 ^ ^ > -------------------------------------------------------------------------- < 作者: hotwu123 (...) 看板: AntiVirus 標題: Re: [求救] 中了PWSteal.trogan 時間: Sun Apr 17 20:49:49 2005 ※ 引述《boaro (蟹蟹女孩)》之銘言： : ※ 引述《kowkow (嘿嘿)》之銘言： : : 我也是重ㄌ這依樣ㄉ病毒物件位置也相同 : : 但我研究ㄌ 之前ㄉ方法都解不掉 : : 哪位大哥可以幫幫忙押^^?? : 我今天一開機 若頓就顯示說中毒了 : 病毒與上位版友一樣 但是我按修復 修復不了 : 所以若頓就幫我隔離掉了 不知道這樣對電腦會不會有影響呢 : 奇怪 也沒去非法不良網站 怎麼最近會頻頻中毒勒 : 我好怕中毒喔 1.先重開機..先別把毒殺掉...然後把它重開....然後狂案"F8"進入安全模式 2.壓開始->執行->%systemroot% (這各指令是要進入安裝windows的目錄有的人是winnt有ㄉ人是windows) 3.工具->資料夾選項->檢視->把顯示所有資料夾跟檔案打勾, 把隱藏保護的作業系統檔案的勾取消 4.找到下列四各檔案 use32.dll kernerl32.dll inertinfo.exe interinfo.exe 把這四各檔案刪除 5.執行regedit 尋找inertinfo.exe 只要找到就刪除 6.刪除完~"記的清空垃圾桶喔"..不然開機後又會有殺豬的叫聲....因為毒在垃圾桶 7.重開機 一切就大功告成~~ 以上是我在網路上找到的..我也中了一樣的毒..按照上面步驟作就解掉了