這個可能會竊取泥的密碼,泥要先備份重要的資料,關閉系統還原
用,Ad-Aware或其它類似的軟體,先更新後再到安全模式掃
不要只掃一次,重開機還要再掃一次

按ctrl+alt+delete泥可能會看到有一個Kerne0110.exe 工作管理員中
可以先停止它

要完整點,泥可以自行再檢查regedit(砍前也最好做備份)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = %SystemRoot%Kerne0110.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

看有沒有kerne0110.exe和RegistryInfo2.dll在裡面

系統目錄下(若xp灌在c,就是c)移除Kerne0110.exe、RegistryInfo2.dll、microsoftie0110.dll,這也可到安全模式

msconfig(開始-執行-打上msconfig-啟動),若有這個東西也可以不勾選它

參考:
http://www.sophos.com/virusinfo/anal...lineagefu.html
http://www.fortinet.com.cn/FortiGuar...uery&id=100181
http://securityresponse.symantec.com...n.psw.gip.html

====================================

手工徹底清除 PWSteal.Lineage 木馬的方法
許多電腦使用者會經常遇到自己的防毒軟體報告發現 PWSteal.Lineage 這種病毒但卻無法清除和隔離它的情況, 
或者是在清除後不久它又出現了,讓人非常苦惱。這時該怎麼辦呢?

其實 PWSteal.Lineage 是某些防毒軟體對某類遊戲木馬的一種統稱,
它並不代表著固定的一個,而是一類,所以即使遇到同樣名子的木馬可能它們也並不相同。 

下方就介紹一個借助免費工具「費爾木馬強力清除助手」
(此工具已經集成到費爾托斯特安全新版本中了)來清除這種頑固性 PWSteal.Lineage 木馬的方法: 

使用這個方法前必須要先知道這個木馬的檔案名是什麼。
防毒軟體在發現木馬後一般都會報告它的完整檔案名,您需要先準確的記錄下這個檔案名。
比如:如果防毒軟體提示 C:\Windows\hello.dll 是 PWSteal.Lineage,則記下 C:\Windows\hello.dll 這個名子。

這裡需要注意檔案名一定要記準確,因為有許多木馬會把自己的檔案名故意偽裝成和正常的檔案名很接近,
比如 svch0st.exe(木馬)->svchost.exe(正常)、Expl0rer.exe(木馬)->Explorer.exe(正常)、intrenat.exe / internet.exe(木馬)->internat.exe(正常)等等。

特別是數位0幾乎和大寫字母O一樣,很容易讓人看錯,所以一定要注意區分它們,
否則萬一記錯將有可能把正常的檔案清除掉,那就麻煩了; 

暫停防毒軟體的即時監控,這一點很重要,否則在清除時可能會被阻止而無法成功。

比如如果當初是你的諾頓發現了這個木馬,那麼請先暫停諾頓的即時監控或即時掃瞄;
下載費爾木馬強力清除助手 http://www4.uploadsend.com/d.php?file=true&filepath=6830
釋放 PowerRmv.zip 到一個目錄,然後執行其中的 PowerRmv.exe 啟動「費爾木馬強力清除助手」。

在「檔案名」中輸入要清除的木馬檔案名。比如如果您在第1步中記下的檔案名是 C:\Windows\hello.dll,

那麼這時就輸入它;
按「清除」。這時程式會詢問你是否要舉報此病毒到費爾安全實驗室,建議點「是」表示同意。
接著程式會繼續提示是否確定要清除它,仍然選「是」;
之後,如果此木馬被成功清除程式會提示成功;或者也可能提示此木馬無法被立即刪除需要重新啟動電腦。

無論是哪種情況請點選「確定」,
這時如果您在前面同意了舉報此木馬那麼程式會自動創建並開啟一個「病毒舉報」的電子郵件,
其中會包含這個木馬的樣本檔案,如果您看到了這個郵件請把它直接傳送給 virus@filseclab.com 。
如果您並沒有看到這封郵件也沒有關係,可以忽略。 

最後,如果程式前面提示了重新啟動電腦後才能清除那麼請一定重新啟動您的電腦,
在電腦重新啟動後這個木馬應該就被清除掉了。 

重要提示: 如果您按上面的方法操作之後,發現不久這個木馬又出現了,並且還是同樣的檔案名,

那麼您可以用上面的方法再重複執行一次,不過這次操作時請選擇程式中的「抑制檔案再次生成」選項,
 這樣清除後一般木馬就很難再復活了。這個功能是最新版「費爾木馬強力清除助手」中提供的,
如果您的沒有這個選項,請從上面的位址中重新下載一次。

注意:
「費爾木馬強力清除助手」有很強的檔案刪除能力,清除後的檔案將無法再還原,所以在清除前一定要確定檔案名沒有輸入錯誤。
如果您按上面的方法操作後仍然不能成功清除掉木馬,則可能是電腦中還存在著另外一個更主要的木馬,在它被清除後會自動從另外一處還原。這時您需要用防毒軟體掃瞄出所有的這些木馬,然後逐一或同時清除才行。

================================

進入安全模式
用SHIFT+DEL強制刪除該檔即可我的電腦/工具列/資料夾選項"檢視"標籤
滑桿移到最下方
取消勾選
1.隱藏已知檔案...
2.隱藏保護的作業....
更改以下選項
改為:
顯示所有檔案和資料夾

按確定
重開機 馬上按住F8不放
數秒後會有進階啟動選項
進入"安全模式"
就只要進入"安全模式"這4個字的選項即可
然後...進入C:\WINDOWS\system32\
Shiht+Del 刪掉Kerne0110.exe

重開機
下載Always Right
http://hw-driver.nctu.edu.tw/pub/slime/systemCleaning/alright.exe

清理無效登錄檔 執行優化系統即可


arrow
arrow
    全站熱搜

    喵絮 發表在 痞客邦 留言(0) 人氣()