LV. 26
GP 90

RE:【心得】我找到盜帳號專用的木馬了....!! 順便提供解法~

樓主 劉小Q iamaq18c
※ 引述《p28162620 (罐頭)》之銘言:
> 我中毒了 安全模式無法刪除
> 檔案名 pcdll.dll (在WINDOWS/system32)
這個是天堂盜帳號專用的木馬...

已經爬到三國來了嗎0.0"
> 病毒 PWSteal.Lineage
> 有人能教我如何解決嗎?
請在先至「我的電腦」→「控制台」→「系統」→「系統還原」,執行「關閉所有系統還原」,並且重新開機進入安全模式,即可刪除。

http://housecall.antivirus.com/housecall/start_corp.asp
免費的線上掃毒

嫌麻煩的話..可以上www.kaspersky.com.tw
卡巴司機的網站去下載適用版....
一般的防毒軟體無法清除..
卡巴司機還不錯..雖然對某些執行檔會有誤判...
不過比其他的都好用很多...

---------------------------------------------------------------------
還有比較複雜但是完整的掃除方式....
(以下是網路上找來的)

使用掃毒程式,查詢出目前所有已感染 PWSteal.Trojan 之檔案,並且使用刪除的方式,將檔案移除。
使用「Ctrl + Alt + Delete」,將 rundll32.exe 停止執行。
依序檢查以下檔案,若是有存在,請將其刪除。
C:\Program Files\rundll32.exe(60K左右)
C:\windows\system32\ct1dll.dll
C:\Program Files\iexpoloer.exe
C:\windows\iexpoloer.exe
C:\windows\system32\exploret.exe
C:\windows\system32\systemlt.dll
請在「開始」→「執行」,打入 regedit.exe,先備份原始機碼。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有 rundll32.exe 後面沒有任何參數的,請刪除之。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
請刪除。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadXXXX請刪除。
請以 exploret.exe 為關鍵字,將所有相關機碼都刪除掉。
  重新開機後,原則上就解毒成功了!
由於病毒檔案不一定相同,以上的是以 rundll32.exe 的,如果是其他檔案,把以上步驟有 rundll32.exe的改為那個"其他檔案"便可

希望能對你有幫助^^
板務人員: