【求助】木馬PWSteal.Lemir.Gen清不掉

[jcg]

被大陸網站植入PWSteal.Lemir.Gen
Norton找到卻清不掉 XDDDD

後來也去Slime下載了一堆除木馬程式
結果還是沒有一個可以偵測到這隻木馬


救命喔~~~



掃描類型：
即時防護掃描事件：
發現病毒！
病毒名稱：PWSteal.Lemir.Gen
檔案： C:\WINNT\lsas.bmp
位置： C:\WINNT

[江湖賣藥的]

先看看工作管理員裡是否有記憶體使用量大的程式
如果不是你認識的先關掉他
如果不行關掉去執行裡面下msconfig看看是否有你不知道的軟體在一開始開機執行
如果不知道就全部關掉在開機執行看看是否有效
如果可以順利關掉程式的話
進system32裡看是否有奇怪的dll檔
我有遇過一隻病毒他所產生的dll檔檔名奇怪到你一看就覺得是木馬
因為他的副檔名是dll.dll.dll很長的一串
當然你可以換套套掃毒軟體試試
或者使用掃廣告木馬的軟體幫助你判斷
如果你已經知道是什麼程式在發做但無法移掉
那就試著用ntfsdos來移除囉

[阿 土]

遇到問題建議先利用 google! 搜尋
Google! 搜尋 PWSteal.Lemir.Gen 第一篇就是 "手工徹底清除 PWSteal.Lemir.Gen 木馬的方法(第二版)"
http://www.filseclab.com/cht/tech/PWSteal.Lemir.Gen.htm

這樣比發問更有效率
建議解決後再上來與網友們分享

[jcg]

偉大的ADMIN ............ 大人呀

孤狗小弟已經拜過好幾次了

你指的那篇也早就仔細研究過了
可惜不適用於小弟的狀況 =.="
(裡面出現的症狀和小弟的不太一樣 無法處理)

不然也不會回到這裡來問

[阿 土]

Google! 可搜尋到很多文章&解決方法
天助自助者 , 與其等待回應不如自己找資料
一條路走不通就要改走第二條 , 第三條.....

-----------------------------------------------------
該病毒被諾頓定義為PWSteal.Lemir.Gen
並將主頁鎖定為www.520xx.com
清除方法：

1.先下載金山的註冊表修復工具
http://db.kingsoft.com/download/3/8.shtml

2.重新啟動進入安全模式下把下列檔案刪除
c:/winnt/hws.exe
c:/winnt/svch0st_.exe
c:/winnt/lsas.bmp
c:/winnt/system32/Explore.exe

3.刪除IE離線檔案

4.使用註冊表修復工具修改被更改的註冊表內容
在啟動項中刪除以下列開頭的啟動項
url
hws
explore
cexplore

該病毒修改檔案關聯方式
使用 regedit 打開 registry
找到 HKEY_CLASSES_ROOT\txtfile\shell\open\command
將鍵值改為NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\inifile\shell\open\command
將鍵值改為NOTEPAD.EXE %1

打開註冊表，依次點擊【編輯】/【尋找】，輸入svch0st_.exe
在搜索到的鍵值中explorer.exe後面的部分全部刪掉

[jcg]

好像可以了 ..

雖然裡面的條件好像幾乎都不太一樣 XDXD

不過目前諾頓已經沒有繼續攔截到那隻木馬

感謝 ~~ Admin

肛溫喔!!

引用:

作者: ADMIN

Google! 可搜尋到很多文章&解決方法
天助自助者 , 與其等待回應不如自己找資料
一條路走不通就要改走第二條 , 第三條.....

-----------------------------------------------------
該病毒被諾頓定義為PWSteal.Lemir.Gen
並將主頁鎖定為www.520xx.com
清除方法：

1.先下載金山的註冊表修復工具
http://db.kingsoft.com/download/3/8.shtml

2.重新啟動進入安全模式下把下列檔案刪除
c:/winnt/hws.exe
c:/winnt/svch0st_.exe
c:/winnt/lsas.bmp
c:/winnt/system32/Explore.exe

3.刪除IE離線檔案

4.使用註冊表修復工具修改被更改的註冊表內容
在啟動項中刪除以下列開頭的啟動項
url
hws
explore
cexplore

該病毒修改檔案關聯方式
使用 regedit 打開 registry
找到 HKEY_CLASSES_ROOT\txtfile\shell\open\command
將鍵值改為NOTEPAD.EXE %1
HKEY_CLASSES_ROOT\inifile\shell\open\command
將鍵值改為NOTEPAD.EXE %1

打開註冊表，依次點擊【編輯】/【尋找】，輸入svch0st_.exe
在搜索到的鍵值中explorer.exe後面的部分全部刪掉

[ayoyo8927]

●症狀：
Backdoor.Trojan並不是病毒的名稱，只是特洛依木馬程式的一個分類，中文稱之為 “後門木馬程式”， 911 之後出現的 投票病蟲 W32.Vote.A@mm，便是其中的一隻。駭客會利用這類病蟲，偷偷地在他人的電腦中置入一扇“後門”，以便神不知鬼不覺地遙控該台電腦，或竊取資料，或散發病毒，或利用所有被種下後門程式的電腦，一起轟炸攻擊其敵對者的網站。要解除這類蟲害，必須先知道病毒（或病蟲）的真正名稱，才能對症下藥。
●簡易解決方法：
一、更新至最新的病毒碼 http://www.symantec.com/avcenter/dow...es/US-N95.html →下載完後 →點兩下直接執行下載結尾是 -i32.exe 那個
二、用安全模式開機 (如果不會，請參考)
三、全系統掃描，並刪除所有中Backdoor.Trojan毒的檔案
四、修改登錄檔 (備份登錄檔) 如果你怕誤刪了什麼重要的機碼 請先備份
a. 開始→執行→輸入 regedit →確定
b. 找到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
c. 在右邊 去刪除 名稱和資料 中，有關Backdoor.Trojan 的。
d. 找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
e. 在右邊 去刪除 名稱和資料 中，有關Backdoor.Trojan 的。
f. 關閉這個程式
五、如果是使用 windows 95/98/ME 的話 還要再改.......
如果是使用 windows 2000/XP 就直接跳到 第十七點
六、如果使用windows ME 的話 請刪除 C:\Windows\Recent 的所有檔案
如果使用 windows 95/98 可以不用刪除
七、開始→執行→輸入 notepad c:\windows\win.ini →確定
八、刪除 load=c:\windows\temp\pkg2350.exe
九、找到 run=hpfsched msrexe.exe 只要刪除 msrexe.exe 就可以了
十、找到包含在 [windows] 的 load= ，刪除= 後面的所有資料！
十一、找到包含在 [windows] 的 run= ，刪除= 後面的所有資料！
十二、儲存並關閉這個檔案
十三、開始→執行→輸入 notepad c:\windows\system.ini →確定
十四、找到包含在 [boot] 的 shell=explorer.exe
十五、刪除 explorer.exe 後面的所有資料！
十六、儲存且關閉這個程式
十七、再執行全系統掃描，刪除中毒的檔案→重新開機