【轉貼】如何解-PWSteal.Trojan-病毒

[月牙彎彎 10]

參考一：

Mars'sParadise

http://blog.blueshop.com.tw/Mars/archive/2004/11/20/845.aspx

參考二：

http://bbs.tyai.tyc.edu.tw/showart.php?bname=security&fname=M.1101470704.A

這個網站有教怎樣解決htdll.dll問題

註：詳文內容都是從上述網址摘錄備忘（用），沒有任何商業意圖，敬請原作者海涵。

Mars'sParadise

http://blog.blueshop.com.tw/Mars/archive/2004/11/20/845.aspx

病毒-PWSteal.Trojan

前言

　　難得愉快的週五夜晚，就這麼被突如其來的病毒PWSteal.Trojan給摧毀了。我目前是使用SymantecAntiVirus2005，一開始是出現病毒警訊，表示在C:windowssystem32ct1dll.dll檔案受到感染，而且他也會一直重覆出現，並且告知你無法解毒的訊息。

　　根據上網使用線上掃毒宣告失敗之後，查詢了許多相關文章，才發現該病毒所感染的情況，有非常多種形式，在經過努力掃毒之後，整理了以下的資料提供大家參考。

方法

　　以下僅適用於XP系統，而在執行以下所有動作時，也請在先至「我的電腦」→「控制台」→「系統」→「系統還原」，執行「關閉所有系統還原」，並且重新開機進入安全模式。

使用掃毒程式，查詢出目前所有已感染PWSteal.Trojan之檔案，並且使用刪除的方式，將檔案移除。

使用「Ctrl+Alt+Delete」，將rundll32.exe停止執行。

依序檢查以下檔案，若是有存在，請將其刪除。

C:ProgramFilesundll32.exe（60K左右）

C:windowssystem32ct1dll.dll

C:ProgramFilesiexpoloer.exe

C:windowsiexpoloer.exe

C:windowssystem32exploret.exe

C:windowssystem32systemlt.dll

請在「開始」→「執行」，打入regedit.exe，先備份原始機碼。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun若是有rundll32.exe後面沒有任何參數的，請刪除之。

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServer

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunMolecule

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunMolecule

請刪除。

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoadXXXX（我就是殺這個，不過我忘記全名了）請刪除。

請以exploret.exe為關鍵字，將所有相關機碼都刪除掉。

　　重新開機後，原則上就解毒成功了！

　　為什麼說原則呢？因為這個病毒太多變了，以上的總整理，也是我看了Ｎ篇不同症狀所整理出來的結果。也希望此篇文章是備而不用，大家都不要中毒喔！

postedonSaturday,November20,20043:13AM

Feedback

#re:病毒-PWSteal.Trojan11/23/20049:51AMAllen

請問您是如何中毒的呢?收到病毒信?

#re:病毒-PWSteal.Trojan11/23/200410:24AMMars

沒有病毒信，就一開機發現開機速度明顯變慢，而NORTON掃到ct1dll.dll中毒！不過上面有提到有一支叫作exploret.exe的程式，是沒有被NORTON掃到喔!!

#re:病毒-PWSteal.Trojan12/2/20049:02PMMAX

謝謝您的文章

我在剛剛不久之前也中到這個毒

靠您的文章已經完全排除掉這個毒

謝謝

#re:病毒-PWSteal.Trojan12/3/200411:46PM阿里貓

按上述步驟進行..最後刪除HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunLoadMect2

也刪除了C:ProgramFilesundll32.exe

但是不懂電腦語言有些步驟不會所有並未執行

重新開機後賽門鐵克顯示隔離一項目

刪除該項目後重掃c槽後沒有再出現病毒

希望已經"安全"

and感謝您的分享~

#re:病毒-PWSteal.Trojan12/3/200411:49PM阿里貓

喔對了我的是C:windowssystem32ct2dll.dll

不知道ct1dll.dll和ct2dll.dll有何不同?

#re:病毒-PWSteal.Trojan12/4/20041:38AMMars

To阿里貓：

　　這個病毒有很多種變形，我所整理出來的文章，其實也是整合好幾種狀況而來的，只是提供一個方向讓你可以找尋病症，再對症下藥。

#re:病毒-PWSteal.Trojan12/7/20049:44PMConnie

是不是"loadMect1"這個檔呢???

======================================================

http://bbs.tyai.tyc.edu.tw/showart.php?bname=security&fname=M.1101470704.A

這個網站有教怎樣解決htdll.dll問題

1.如果你想知道電腦內有無htdll.dll木馬病毒:

-請到C:WINDOWSsystem32查看,如果找出htdll.dll檔案的話.表示中了木馬病毒.

試著掃描該檔案,如果防毒軟體偵測不到病毒.表示病毒碼不是最新的,

否則一定會偵測到病毒!

-按Ctrl+alt+delete,選擇處理程序,如果有發現二個explorer.exe處理程序,表示有木馬病毒.(事實上正常的explorer.exe是作業系統必須的處理程序,另一個explorer.exe才是木馬的本尊.)

該病毒會竊取電腦一切機密資料,大量佔用系統資源,掃毒軟體每次開機會永遠出現偵測到病毒,無法直接刪除,

也無法修復/隔離,即使刪除後重開機,htdll.dll又會再次出現.

2.完全移除方法:

先按Ctrl+alt+delete,關掉Norton掃毒應用程式(如果有使用的話)接著再關掉二個explorer.exe處理程序.

此時開始工具列會消失.

3.確定explorer.exe關閉後htdll.dll應該會自己消失,但還是請確定該檔案是否還在以下位置:C:WINDOWSsystem32htdll.dll如果還在,請立刻刪除它.

4.按下ctrl+alt+del,點選"檔案(F)"-新工作輸入explorer以開啟開始工具列.

5.最重要的,請到C:ProgramFiles裡面查看,

該資料夾內會多出一個explorer.exe檔案(記事本的圖示,96.5kb),

這就是電腦啟動後不斷的讓htdll.dll重生的罪魁禍首,刪除它.接著清理資源回收桶

6.重開機,確認是否沒有再出現htdll.dll以及二個explorer.exe處理程序,一切無誤的話,完成!

由zaquic所發表|網路資源|迴響(19)|靜態連結網址|引用(0)|閱讀次數:4743

Comments

你好，我是上面「病毒-PWSteal.Trojan」的原作者Mars。很謝謝你轉載我的拙作，幫助了跟我一樣中毒的人。

我是在檢閱BLOG的Referrers時，才連結到你的網站。在此想向你請教一下，在什麼情況之下，我的Referrers會留下貴站的路徑呢？

由於我只是個BLOG的新手，雖然平日會整理一些心得放上去，但實際上該如何進階使用，或是白痴一個。

若是你在有閒瑕之餘方便告知的話，再麻煩你了。謝謝。

作者:Mars|元月21日2005,14:18

昨天也中了此毒，

我依照你的方法先進入安全模式，

使用掃毒程式，查詢出有兩個病毒，

3之後的步驟病毒，有些我並無找到，

然後有去線上掃毒，

那個不斷出現的視窗也消失了，

這樣算是解毒乾淨了嗎?

還是我應該重灌才對?

如果方便，請你告知好嗎?

謝謝你!!

作者:Lo|元月21日2005,15:12

如何解「病毒-PWSteal.Trojan」的原作者Mars您好：

我未先徵得您的同意就轉載您的解毒方法，實在很不對，應該要向您道歉，承蒙您不追究且容許我引用您的解毒妙方，真是感激不盡！

之前，跟您相似的情形，我機器安裝的NortonAntivirus一再提醒我C:windowssystem32ct1dll.dll檔案受到感染，又不知如何解毒（解毒不大有經驗），經網路搜尋找到您的大作，依您的解毒方法處理，NortonAntivirus就沒再說話了（要再次感謝您），但怕日後會再遇到，所以就將之摘錄備用（謝謝您的允許）。

至於您提到的Blog問題，我也剛接觸Blog這東東，可能比你更生疏，Blog的運作細節我也剛在摸索，真抱歉沒辦法解答您的疑問（我現在還不懂），以後哪天弄懂了，一定告知您！（或者您先弄懂了，能互相告知，就大大的感謝您了）

作者:zaquic|元月22日2005,13:12

謝謝你的文章解救了我們這些電腦使用者加油

作者:jj|元月23日2005,14:22

想請問一個問題:

只要一上網，我的cpu會很快飆到100且降不下來，就只開一個Yahoo奇摩首頁也一樣。

一按工作管理員，發現是system這個程式佔了近95%的資源，且無法關閉system.

已經上網查詢許多文章但沒有找到solution,

已經使用TrendMicro防毒軟體(用最新病毒碼)在正常和安全模式皆掃過數次毒，但未發現任何virus.

所使用的系統是XPProfessionalSP1

我是懷疑疾風病毒，但是我的windows已經update過了，怎麼可能還有這問題?

Thankyou!!

作者:Ethan|元月23日2005,14:47

謝謝你的文章解救了我們這些電腦使用者加油

作者:FRANCICO|元月24日2005,17:09

ToLo,

　　因為該病毒有多種變型，所以依照上面的方法，不一定每個都會碰到，不過根據我的經驗，只要有問題的那幾支程式移除掉，並且修正登錄檔，應該就可以解決中毒的現象。

ToEthan,

　建議你做系統的調校，不一定是中毒了，有可能是系統有問題，也會如此。

Tozaquic,

　　我問到了，在BLOG中，會有二個連結記錄，一個是透過WEB的方式連結過來，一個是透過RSS連結過來。

歡迎大家有空到我的BLOGhttp://blog.blueshop.com.tw/mars/

走走。

作者:Mars|元月25日2005,11:15

你好,我之前使用了賽門鐵克的線上掃毒,掃出了如你們上述的病毒,而我也順利的掃除了,工作管理員也不再出現rundll32,但是還是有五個檔案仍然偵測出感染PWSteal.Trojan,分別是

C:WINDOWSDownloadedProgramFiles#.exe感染了PWSteal.Trojan

C:WINDOWSDownloadedProgramFilesCONFLICT.4#.exe感染了PWSteal.Trojan

C:WINDOWSDownloadedProgramFilesCONFLICT.3#.exe感染了PWSteal.Trojan

C:WINDOWSDownloadedProgramFilesCONFLICT.2#.exe感染了PWSteal.Trojan

C:WINDOWSDownloadedProgramFilesCONFLICT.1#.exe感染了PWSteal.Trojan

我完全找不到這五個檔案,所以也不知道如何處裡,請問能幫我解答嗎??

作者:小邱|元月25日2005,22:49

ToMars:

不是我的system有問題，我上網查了許多資料才知道這叫做DOS惡意攻擊，我後來用另外一個IPaddress上網就沒有CPU跑到100%的情況出現了。

很感謝你的回答。

To小邱:

你可以到安全模式去試看看。

假如還不行的話，就要找你電腦製造商的服務中心，請他們幫你除去那些中毒檔案。

作者:Ethan|元月30日2005,11:28

我現在還在想到底要怎麼樣才能避免DOS攻擊，

我又沒得罪人，怎麼會這樣?*_*

現在想到的只有firewall的設定，還是大家有什麼妙招?

Thanksanyway!

作者:Ethan|元月30日2005,15:37

不好意思，樅網絡上搜尋來到這裡，因為我的電腦最近中了TROJ_LINEAGE.AM病毒，我使用的是Windows98，防毒軟體是TrendPC-Cilin2000，前几天才剛更新防毒的pattern，之後就發現電腦有病毒。

在我的電腦里找到兩個中了病毒的檔案：

C:WINDOWSRUNDLL32.EXE

C:WINDOWSSYSTEMHTDLL.DLL

我的防毒軟體沒辦法清除、隔離或刪除這些檔案，我也試著自己刪除這兩個檔案，但是沒辦法刪除，跳出一個視窗說系統正使用這些檔案。我該怎麼把病毒清除呢？現在我都沒辦法打開“控制台”裡面的程式，我不想把電腦拿去重灌>_

作者:blu|二月02日2005,00:13

ToBlu:

Youcantry:

http://www.trendmicro.com/download/zh-tw/tsc.asp

非趨勢科技的產品使用者請下載TrendMicroSystemCleanerPackage

作者:Ethan|二月02日2005,12:58

我偵徹到一個病毒

病毒名稱:TROJ_EH.A

這個病毒無法隔離~要如何解除掉阿~

有哪為高手~幫個忙一下~謝謝

它的位子是在C槽C:WINNTsystem32saristar.dll找到的

作者:阿杜|二月03日2005,16:30

ToEthan:

謝謝，病毒已經清除了！感激不盡！！:D

作者:blu|二月04日2005,01:07

我剛也發現突然出現PWSteal.Trojan的病毒警訊，也一直關不掉∼∼不過重新開機後，就沒出現警訊了∼∼那到底有沒有中毒呢？可以幫我解答嗎？感激不盡＞＜

作者:小笨|二月16日2005,17:07

致小笨.....

重開未顯示病毒並不代表說就沒有病毒喔

最好試著去解看看會比較保險.....

作者:耶魯|二月16日2005,19:14

你好，因為你的這篇文章，讓我解決了這個病毒...，我想把這件事情post在我的blog裡面，想要引用你的文章、貼上你的網誌位址，所以想徵求你的同意~~

謝謝~~

作者:阿潘|二月20日2005,01:26

有關解病毒的文章內容，原作者是好心的Mars，應該跟他徵詢哦！（我也是轉載者而已）

至於我的網誌位址或我的原作內容，只要不是進行不當（非法）的作為，不用介意，直接引用不用告知也沒關係。

作者:zaquic|二月20日2005,12:03

ToAll:

你們可以去美國TrendMicro下載freetrial.

2005應該是可以應付你們所說的問題，我知道一大堆免費試用的antivirus但是最好的應該是Kaspersky,缺點是佔資源。

全球英文防毒軟體大評比

2004年10月11日

近日，國際知名安全網AntonyPetrakis(www.virus.gr)公佈了該公司於2004年8月10日至25日對全球55款英文防毒軟體的評測結果。

下面是該公司具體評測資訊：

1、測試時間2004年8月10日至25日，

使用的作業系統是：Windows2000SP4，硬體操作平臺爲：CELERON2400MhzCPU,256MB記憶體。

2、所有測試防毒軟體均使用升級和更新的最終版本，測試過程中使用了軟體最大掃描能力，例如啓發式、全掃描等。

3、測試過程中選擇的76556種病毒樣本，是專業病毒整理的工具VS2000根據Kaspersky、F-Prot、RAV、Nod32、Dr.Web、Sweep、BitDefender、E-Trust和McAfeeantivirus反病毒軟體生成的日誌。每種病毒樣本採用了唯一的病毒名稱，這也就意味著最少有一種反病毒軟體檢測樣本時會認爲是一種新病毒。

4、所有病毒樣本全部採用解包並且是唯一病毒樣本。

5、這些病毒樣本使用了特殊程式--Renexts，按照文件大小校驗，確保病毒樣本唯一性、副檔名的正確性。

6、多數僞裝病毒樣本和垃圾文件都已經挑出。

7、PER公司的防毒軟體沒有被測試，因爲該公司沒有提供英文演示版本可供檢測。

8、BOClean、VET、Titan、RisingAV、Ikarus和Freedom公司防毒軟體沒有被測試，因爲這些公司沒有提供演示版本可供檢測。

以下是全球55款英文防毒軟體排名情況：

1.KasperskyPersonalProversion4.5.0.58-99.09%

2.F-Secure2004version4.71.5-98.77%

3.ExtendiaAVKProversion11.0.4-98.68%

4.AVKversion14.0.7-98.50%

5.KasperskyPersonalversion5.0.149-97.88%

6.eScan2003VirusControlversion2.6.484.8-96.75%

7.McAfeeversion8.0.41-93.59%

8.Nortonversion2004Professional-93.38%

9.RAVversion8.6.105-93.14%

10.F-Protversion3.15-91.85%

我只列前10名.