Re: 請問這是什麼病毒?

看板NetSecurity (資安資訊安全)作者ayoyo8927.時間19年前 (2006/01/18 10:01)推噓0(0推 0噓 0→)

留言0則, 0人參與討論串8/11 (看更多)

這是天堂木馬，相關的資訊還解決方案如下，想要了解更多與此病毒相關的資訊，可以連結至趨勢的網站： http://www.trendmicro.com/vinfo/zh-tw/grayware/ve_graywareDetails.asp?GNAME=TSPY%5FLINEAGE%2EEA ●症狀：１、命令提示字元的反應變慢了２、會出現一些奇怪的*.dll檔（出現了tl.dll及CD_CLINT.DLL，位在 c:\winnt\system32\），這些*.dll檔會被你的防毒軟體抓到。然後，會發現，這個檔案無法刪除，無法隔離。 ●別名： TSPY_LINEAGE.OF; PWS-Lineage.dll (McAfee); PAK:UPX, Trojan-PSW.Win32.Lineage.oj (Kaspersky)、Download.Trojan ●解法：以下僅適用於 XP 系統，而在執行以下所有動作時，也請在先至「我的電腦」→「控制台」→「系統」→「系統還原」，執行「關閉所有系統還原」，並且重新開機進入按F8安全模式。使用掃毒程式，查詢出目前所有已感染 PWSteal.lineage 之檔案，並且使用刪除的方式，將檔案移除使用「Ctrl + Alt + Delete」，將 rundll32.exe 停止執行。依序檢查以下檔案，若是有存在，請將其刪除。 C:\Program Files\rundll32.exe（60K左右） C:\windows\system32\ct1dll.dll C:\Program Files\iexpoloer.exe C:\windows\iexpoloer.exe C:\windows\system32\exploret.exe C:\windows\system32\systemlt.dll 請在「開始」→「執行」，打入 regedit.exe，先備份原始機碼。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有 rundll32.exe 後面沒有任何參數的，請刪除之。 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule 請刪除。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadXXXX （請以 exploret.exe 為關鍵字，將所有相關機碼都刪除掉。重新開機後，就解毒成功了！《關於win98的解法》 PWSteal.Lineage是一個偷線上遊戲「天堂」帳號密碼用的後門程式在C: 搜尋 INTERNET AND RUNDLL32 會發現有好幾個,其中有1~4 個附檔名是EXE但是圖示為記事本圖樣那就是木馬請全部刪除那樣就OK了如果不給刪除請先按CTRL +ALT+DEL 結束該工作 -- 夫兵者不祥之器物或惡之故有道者不處君子居則貴左用兵則貴右兵者不祥之器非君子之器不得已而用之恬淡為上勝而不美而美之者是樂殺人夫樂殺人者則不可得志於天下矣吉事尚左凶事尚右偏將軍居左上將軍居右言以喪禮處之殺人之眾以哀悲泣之戰勝以喪禮處之道常無名樸雖小天下莫能臣侯王若能守之萬物將自賓天地相合以降甘露民莫之令而自均始制有名名亦既有夫亦將知止知止可以不殆譬道之在天下218.210.8.52海