如果是木馬的話
我有大略整理一下不同人中毒解毒的方法
就給你當參考嚕↓
【Trojan-PSW.Win32.Lineage.ci】
有鑑於最近的新病毒Trojan-PSW.Win32.Lineage.ci,把大家弄得雞飛狗跳,就連Kapersky都很難解決,以下列出我所成功刪除的方法(適用於Windows XP):
在清除這病毒之前,請不要連上網路.開啟Internet Explorer工具列 -> 網際網路選項 -> 一般活頁標籤裡,點選"刪除Cookie"."刪除檔案"(所有連線內容一倂刪除)以及"清除紀錄".動作完成後,按以下步驟執行:
1. 將電腦開機成安全模式,記得要選擇不含網路功能的第一個選項(開機時按住F8即可進入安全模式)
2. 進入視窗底下後,同時按住Ctrl+Alt+Delete,叫出工作管理員,切換到處理程序標籤.此時會看到一個名為& quot_svchost_.exe"的程式,選擇它,並按結束處理程序,點"是"(若同時出現2個,一起結束又會關機的情形發生時,請看看此程式最右排的記憶體使用量,把使用量最高的關閉.如果直接把2個都按結束後,出現緊急關機倒數對話盒,請點 : 開始->執行,打入"shutdown -a")
3. 成功關閉此程式後,請點選Windows工作列:開始->執行,鍵入"regedit"
4. 進入登錄編輯程式對話盒後,選擇左邊視窗:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
在Run以及RunOnce下按右鍵,選擇尋找"_msvc_.dll"
5. 將找出的值全部刪除,記得要尋找下一個,直到完全砍完為止
6. 在同樣的路徑底下,尋找"_svchost_.exe",右方會看到很多的數值,在資料欄裡查看它的路徑是否出現"_svchost_.exe",將此刪除,一直試到完全刪除為止
7. 成功刪除後,請重新開機,將Kapersky Anti-Virus叫出,重新掃描一次我的電腦,把掃出的病毒按刪除即大功告成.
資料來源:
http://bbs.wefong.com/viewthr...tra=page%3D8-------------------------------------------------------------------------------------------------
【PWSteal.Trojan 】
以下僅適用於 XP 系統,而在執行以下所有動作時,也請在先至「我的電腦」→「控制台」→「系統」→「系統還原」,執行「關閉所有系統還原」,並且重新開機進入安全模式。
使用掃毒程式,查詢出目前所有已感染 PWSteal.Trojan 之檔案,並且使用刪除的方式,將檔案移除。
使用「Ctrl + Alt + Delete」,將 rundll32.exe 停止執行。
依序檢查以下檔案,若是有存在,請將其刪除。
C:\Program Files\rundll32.exe(60K左右)
C:\windows\system32\ct1dll.dll
C:\Program Files\iexpoloer.exe
C:\windows\iexpoloer.exe
C:\windows\system32\exploret.exe
C:\windows\system32\systemlt.dll
請在「開始」→「執行」,打入 regedit.exe,先備份原始機碼。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有 rundll32.exe 後面沒有任何參數的,請刪除之。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
請刪除。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadXXXX(我就是殺這個,不過我忘記全名了)請刪除。
請以 exploret.exe 為關鍵字,將所有相關機碼都刪除掉。
重新開機後,原則上就解毒成功了!
資料來源:
http://blog.blueshop.com.tw/M.../20/845.aspx----------------------------------------------------------------------------------------------------
【Downloader.Trojan】
諾頓介紹此木馬的網頁:
http://securityresponse.syman....trojan.html至於都是英文會看不懂
那麼就用奇摩翻譯工具吧
http://tw.search.yahoo.com/lan...fp-tab-web-t----------------------------------------------------------------------------------------------------
【PWSteal.Lemir.Gen】
一、請先去把系統設定為「顯示隱藏檔案」,因為病毒以隱藏內容偽裝,不做此設定將無法看到它,設定的方法如下(如果系統已經做了此設定可以跳過這一步):
開啟「我的電腦」;
依次開啟菜單「工具/資料夾選項」;
然後在彈出的「資料夾選項」對話框中切換到「檢視」頁;
解除「隱藏受保護的作業系統檔案(推薦)」前面的對鉤,讓它變為不選狀態;
在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項;
解除「隱藏已知檔案類型的副檔名」前面的對鉤,也讓它變為不選狀態;
最後點選「確定」。
二、按「Ctrl+Alt+Del」鍵彈出排定的工作,找到EXPL0RER.EXE行程(注意第5個字母是數位0不是字母O),找到它後選擇它並點選「結束行程」以結束掉木馬行程。然後迅速做下方一步,只所以要迅速是因為如果動作慢的話,木馬可能會自動還原而再次執行起來,這樣就無法刪除掉其他木馬檔案了(如果EXPL0RER.EXE行程再次執行起來需要重做這一步);
三、開啟資源管理員進入到 「系統目錄\Winnt\System32」下(如果您的win2000/nt/xp安裝在C盤則就是 C:\Winnt\System32)。找到EXPL0RER.EXE檔案(注意第5個字母是數位0不是字母O)、SysModule32.dll檔案,然後直接刪除它們。如果這時報告「檔案正在執行無法刪除」的類似提示則說明木馬已經再次還原了,需要從第二步開始重複做,並且從第二步到第三步一定要迅速,這裡建議可以先開啟資源管理員選擇這幾個待刪除的檔案,在做第二步即剛結束掉EXPL0RER.EXE行程後馬上轉過來刪除這2個檔案,這樣一般就可以成功了;
四、同樣在 「系統目錄\Winnt\System32」目錄下找到 SysModule64.dll 檔案,嘗試刪除它,不過如果這時報告「此檔案正在執行中無法刪除」等類似提示也沒有關係,稍後在第七步將介紹如何刪除此檔案;
五、開啟資源管理員進入到 「系統目錄\Winnt」下,找到一個 MFCD3O.DLL 檔案,手工刪除它;
六、開啟「開始/執行」,輸入「regedit」後「確定」以開啟註冊表編輯器,找到「HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵,把整個「{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵全部刪除。
七、登出目前使用者或重新登入或重新啟動電腦。之後再按第四步的方法刪除掉 SysModule64.dll 檔案,如果一切正常此時應該可以刪除掉它了。
資料來源:
http://www.filseclab.com/cht/....gen.old.htm-------------------------------------------------------------------------------------------------------
【預防中毒, 中毒處理, 與無法解決中毒之發問】
一.預防重於治療
1.Window Update 自動更新功能開啟
2.安裝防毒軟體,現在很多病毒雖然可以事先攔截到, 一但中毒, 可能難以處理
3.不要亂開來路不明信件, 檔案 (軟體最好從官方網站下載)
4.考慮加裝 防間諜/後門/木馬 的軟體, 防毒程式雖可攔截, 但是稍弱點
5.考慮加裝 防火牆
6.不要只更新病毒碼, 防毒軟體也要更新版本
7.不要安裝兩套防毒 OR 兩套防火牆, 可能互相干擾
二.中毒處理
1.關閉「系統還原」(Windows Me/XP)。
如何關閉或啟用 Windows Me「系統還原」
http://service1.symantec.com/...517101224932如何關閉或啟用 Windows XP「系統還原」
http://service1.symantec.com/...5171029459322.更新病毒定義檔。
3.將電腦重新啟動[F8]在安全模式或是 VGA 模式。
4.執行完整的系統掃描,並刪除所有偵測到的病毒。
進階:
5.如果失敗, 請去病毒網站找專屬的移除工具 or 手動移除方法
6.如果病毒仍是無法清除或隔離, 嘗試直接砍掉中毒檔案 (當然您要有把握電腦不會死當到無法進入系統才可以這樣做)
7.如果砍不掉, Ctrl+Alt+Del 看看 [工作管理員]中是否有該程式, 中斷執行, 砍掉它
8.或者去 登錄(Registry) 中尋找中毒的檔案, 有可能一開機就執行, 所以砍不掉, 砍掉後, 重新啟動電腦
9.怎樣都移除不了, 資料備份走, 準備 format 重新安裝 (中一次毒, 學一次乖)
三.無法解決中毒之發問
1.請說明病毒名稱 (拜託不要打錯名稱)
2.請說明哪套防毒軟體回報病毒名稱 (每個廠商對病毒名稱定義不同)
3.最好整個訊息貼出來, 有些時候並不是中毒, 只是攔截到病毒, 當然怎麼掃都掃不到
4.不要期望有人會幫您翻譯整篇病毒說明, 您可以挑 解毒 的部份看, 看不懂或照做失敗提出來問[連結有現上翻譯功能網址]
http://forum.icst.org.tw/php...c.php?t=71155.不要僅提供哪個檔案中毒, 要提供中了什麼病毒名字
四.系統重新安裝建議 (建議 format 安裝, 不然可能殘留病毒)
1.安裝 OS , 安裝最新 Service Pack
2.安裝 防毒
3.安裝 Firewall
4.連上 Internet, 更新 Windows Update
5.更新病毒碼
6.如果上網過程中不幸中毒, 又無法清除, 準備再次重新安裝系統 (機率很低啦)
7.開始安裝其它軟體
五. 關於Temporary Internet Files 清空
Temporary Internet Files 是 IE 存放暫時檔案的地方, 這裡如果有病毒,
IE6 的 [工具] 下拉選單, [網際網路選項], 按下 [刪除檔案] 鈕就可以全部刪除
PS: 以上僅代表個人建議, 如有疏漏, 歡迎大家提供建議
資料來源:
http://forum.icst.org.tw/php...c.php?t=5558--------------------------------------------------------------------------------------------------------
【t1dll.dll相關處理】
《方法一》:
標準且完全正確的解法 (針對 t1dll.dll)
(目前趨勢網站與NORTON 網站都還沒有完全正確的說明與解法)
1.開始->執行->regedit [按下確定]
2.尋找 HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
(說明: 這是印表機的驅動程式位置)
3.尋找 右側 load名稱的機碼 數值資料"應該是空白的"
(如果他 load 數值名稱= C:\program files\svhost.exe 需"修改"後 "清除" [按下確定] )
4.以上表示 c:\program files\svhost.exe 或 svhost32.exe 等等 EXE 執行檔都是病毒
(是掃毒程式抓不到 或是無法清除)
5.尋找機碼HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6.尋找右側是否有相關 svhost.exe 或 奇怪名稱的啟動機碼
7.清除機碼後就需要 [重新開機]
8.開啟 c:\program files\ 尋找 svhost.exe 或 svhost32.exe 等等執行檔並刪除
(無法刪除表示發作中 盡量不要執行遊戲 會被竊取密碼)
9.重新開機後用掃毒程式找找看 是否還會抓到 t1dll.dll
資料來源:
http://spaces.msn.com/m...uarwater/《方法二》:
小弟中了T1dll.dll的木馬病毒看到置頂的方法
應該刪除了,要感謝提供方法的大大,謝謝
可是我照著方法第一種無效
第二種要修改一下
以下是我使用的方法,有這困擾的大大試試看吧
先確定電腦內有無T1dll.dll木馬病毒,位置路徑
首先依照第一種方法將工作管理員打開,按Ctrl+alt+delete
找到svhost32.exe然後把程式結束掉(這樣你才可以更改檔名,及刪除)
之後用第二種方法
(1)修改木馬名稱
去C: WINDOW SYSTEM32下找出t1dll.DLL, 把t1dll.DLL改一個名稱
(2)製作假木馬
開一個記事本另存新檔檔名打上t1dll.DLL,再把這隻假的t1dll.DLL檔
放到原本被你改名稱的t1dll.DLL檔的位置,對檔案點右鑑->內容->把唯讀打勾
(3)刪除真木馬
完成之後重新開機再把被你改過名稱的正版t1dll刪除 (那隻你製作的
假木馬t1dll.DLL不可刪除,否則真木馬會再次被植入你的電腦)
如果重新開機之後有出現svhost.exe-損壞的影像
應用程式火DLL C:WINDOWSYSTEM32T1dll.dll為不正確的windows影像。
請下載 HijackThis 可以掃瞄清除個機碼。
下載HijackThis
下載後安裝,執行選用 "Do a system scan"
掃瞄完後,把 有關svhost.exe (註:我只找到svhost32.exe 我在第一項,所以我刪除它,這就是病毒的應用程式吧)全打勾就好,其他的不要勾
,然後按 "fix checked" -> yes
再用第一種方法
再到開始-->執行,鍵入regedit,出現登錄編輯程式
,找到編輯-->尋找,鍵入svhost32,找到登錄檔刪除它,(我只找到ㄧ個)
,有好幾個,繼續尋找,把有關svhost32登錄檔全刪除.
按照上面的方法我的諾頓就不會再顯示有毒視窗
應該沒毒了,不不不......還有不過應該沒關係
那是你之前做的假檔,小弟還沒刪除,過幾天我要看看有無影響
因為第二種方法有說(那隻你製作的
假木馬t1dll.DLL不可刪除,否則真木馬會再次被植入你的電腦)
資料來源:
http://bbs.wefong.com/viewthr...tra=page%3D2《方法三》:
木馬說明:svhost32.exe〔無傷害類型病毒〕,但是會自動產生檔案"T1DLL.dl"l
並自動執行"T1DLL.dll"〔植入木馬並盜取遊戲帳號跟密碼的病毒]
徹底清除T1dll.dll的方法
壹.原為網路上一篇文章,我把文章修改一下,並補充需注意的細節,為PWSteal.Lineage所困擾的人,可以試試看這個方法.
先確定電腦內有無T1dll.dll木馬病毒:
請到開始-->搜尋T1dll,如果找出T1dll.dll檔案的話.
電腦已經中了木馬病毒.先按Ctrl+alt+delete
,關掉Norton(NAVAPSVC.EXE)(如果有使用的話)
,第一步找到svhost32.exe然後把程式結束掉
,第二步再把explorer.exe結束掉
,這時候開始工具列會消失,不要緊張
,然後切換至應用程式(也是在工作管理員選單上)
,按一下新工作按鈕並鍵入"explorer" (也是在工作管理員選單上)
,這時候就可以到C:\WINDOWS\system32刪除T1dll(立刻刪除它)
,下一個步驟到C:\Program Files\裡面查看,
,該資料夾內會多出一個svhost.exe檔案和一個Trojan
,刪除它們
,接著清理資源回收桶
,重新開機,應該就把病毒清除了.
註: 1. svhost32.exe跟svchost.exe很像,別關錯了.
2.重新開機後,到桌面時會出現找不到svhost32,不要理會按確定
,再到開始-->執行,鍵入regedit,出現登錄編輯程式
,找到編輯-->尋找,鍵入svhost32,找到登錄檔刪除它,
,有好幾個,繼續尋找,把有關svhost32登錄檔全刪除.
資料來源:
http://bbs.wefong.com/viewthr...tra=page%3D1-----------------------------------------------------------------------------------------------------
【spy_lineage】
1.按Ctrl+Allt+Del 進入工作管理員→處理程序→svhost32.exe→停用
2.進入我的電腦→Program Files→刪除 svhost32.exe
3.開始→執行→msconfig→啟動→C:\Program Files\svhost32.exe 打勾取消
4.進入Windows\system32刪除遭感染的軟體
5.開始→執行→regedit→刪除所有含svhost32.exe的機碼
6.重開機
資料來源:
http://bbs.mychat.to/read.php?tid=356951---------------------------------------------------------------------------------------------------------
【解決首頁被綁架之方法大全】
http://myweb.hinet.net/home2/...b-kidnap.htm--------------------------------------------------------------------------------------------------------
[病毒防護]各家廠商的線上掃毒一次收錄
Norton
http://security.symantec.com/...MGJCDBXWVPGCPc-cillin
http://housecall.antivirus.com...art_corp.aspPanda
http://www.pandasoftware.com.t...tivescan.htmMcAfee
http://us.mcafee.com/root/m...asp?pkgid=0F-secure
http://support.f-secure.c.../ols.shtml卡巴線上掃毒
http://www.kaspersky....sscanner----------------------------------------------------------------------------------------------------------
【防毒軟體】:卡巴斯基、F-secure、McAfee、Nod32、ZoneAlarm、熊貓、諾頓、趨勢、江民...等 在此提供作為參考 PS沒有按照好壞排序 我也沒有特別要推薦什麼 依照個人喜好使用。
----------------------------------------------------------------------------------------------------------
