大菠蘿的家

網路上看來的，不知道有沒有幫助解決pwsteal.lineage病毒的方式!!技術細節:當PWSteal.Lineage執行時，它會執行下列動作：將自身複製為下列任一個檔案：%ProgramFiles%\rundll32.exe%ProgramFiles%\explorer.exe%ProgramFiles%\Internat.exe%Windir%\rundll32.exe%Windir%\Internat.exe注意：%Windir%是一個參照到Windows安裝資料夾的變數。預設的位置是C:\Windows(Windows95/98/Me/XP)或C:\Winnt(WindowsNT/2000)。%System%是一個參照到System資料夾的變數。預設的位置是C:\Windows\System(Windows95/98/Me)、C:\Winnt\System32(WindowsNT/2000)或C:\Windows\System32(WindowsXP)%ProgramFiles%是一個參照到ProgramFiles資料夾。預設的位置是C:\ProgramFiles。真正的Microsoftrundll32.exe存在於%system%。真正的MicrosoftInternat.exe存在於%system%。真正的Microsoftexplorer.exe存在於%windir%。加入下列任一個值："[隨機名稱]"="%ProgramFiles%\rundll32.exe""[隨機名稱]"="%ProgramFiles%\explorer.exe""[隨機名稱]"="%ProgramFiles%\Internat.exe""[隨機名稱]"="%windir%\rundll32.exe""[隨機名稱]"="%windir%\Internat.exe"新增到登錄機碼：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run每次啟動Windows時，就會執行特洛伊木馬程式。建立下列檔案：%system%\htdll.dll將收集到的Lineage密碼，以電子郵件傳送到下列網域的位址：pchome.com.twtom.com163.com移除指示:1.關閉系統還原(WindowsMe/XP)2.更新病毒定義檔3.以「安全」模式重新啟動電腦4.掃描並刪除受感染的檔案5.還原登錄所做的變更重要：對系統登錄進行任何修改之前，賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯，嚴重時將會導致資料遺失或檔案受損。按下「開始」>「執行」。輸入regedit然後按下「確定」。跳到這個機碼：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run在右窗格中，刪除值："[隨機名稱]"="%ProgramFiles%\rundll32.exe""[隨機名稱]"="%ProgramFiles%\explorer.exe""[隨機名稱]"="%ProgramFiles%\Internat.exe""[隨機名稱]"="%windir%\rundll32.exe""[隨機名稱]"="%windir%\Internat.exe"結束「登錄編輯器」。6.檢查c:\ProgramFiles\或c:\winnt\路徑下是否還藏有下列檔案:Internat.exeexplorer.exerundll32.exesvchost.exe等檔案,找到並移除上述檔案,才能徹底將檔案移除!!以上內容摘自吳鳳留言與回應系統(WIRS)WuFengInquiry&ResponseSystem