求救！！！！机子中毒！盗传奇密码的木马！

Nyy

哪位DX知道怎么杀掉啊，我的诺顿不行啊！
而且我在DOS里把C:\WINDOWS\SYSTEM32\SYSMODULE32.DLL给删除！
但是进入XP运行任何程序它又出来了！！！！
救命啊！！！！！

Nyy

更郁闷的是我早就不玩传奇了，根本没装！！！！

hsz76

这种小病毒好像NAV这样的舶来品是处理不了，看看瑞星什么的行不行。

Nyy

有没有专门杀它的小程序啊？

恋上你的床

没有，用木马克星吧，虽然误报比较多，但是算很好用的了

jiangmin

用qqkav--QQ病毒专杀工具试试。

[ Last edited by jiangmin on 2003-12-17 at 15:10 ]

Nyy

不用了，我硬是手动把它给杀掉了！！！
手工彻底清除 PWSteal.Lemir.Gen 木马的方法 (2003.12.16)
一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）；

三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了；

四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件；

五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它；

六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。

七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。

至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。

shanmimi

你是怎么知道该删除哪些文件的？

恋上你的床

应该可以看到一个程序的进程树，然后判断……

Nyy

本人杀了一天！电脑重起n次，网线拔了n+1遍！自己摸索+在网上寻找资料，才搞定的

hxf

用一个NTFS for Dos不更方便一些吗?

auto163 - T50-11

我在装瑞星的时候才能把他搞掉。