Re: 求救 中木馬了..應該怎麼辦 - 資安

※ 引述《mingwangx (器材班，○九三)》之銘言：
: ※ 引述《[email protected] (永遠的初心者)》之銘言：
: : 請問一下......
: : 我中了一個叫 TROJ_LENEAGE.A 的病毒
: : 上趨勢網查是木馬病毒.用它教的方法也移不掉(全英文 orz)
: : pc-cillin只能找到...也無法移除或隔離
: : 請各位高手幫幫忙
: : 感謝
: 我也遇到一樣的問題。
: 在趨勢的網頁裡，移除這個木馬的方法裡有這個步驟（XP裡）：
: Disabling the Malware DLL Process
: 1.進入安全模式
: 2.按「執行」
: 3.輸入C:\Windows\System32\regsvr32 /u 中毒的檔案途徑
: 但是，regsvr32沒有辦法順利執行。
: 所以移除過程卡住了。

lineage類型的, 先不要管掃到的DLL檔, 就我的經驗, 先看看以下幾點....

1.掃毒軟體有沒有掃到exe的檔案?
可能有explorer.exe或Rundll32.exe或internat.exe其中一種
有的話把檔案路徑抄下來, 沒有也沒關係....

2.到 HKLM\Software\Microsoft\WIndows\CurrentVersion\Run 或 RunService 下看
看看有沒有哪個路徑是指到上面三個檔案的登錄檔?

應該要有, 且1如果有掃到的話(也有可能會掃不到), 應該會和這登錄檔的檔名一樣

3.收集以上兩點後:

A. 備份/刪除第2點看到的登錄檔
B. 重開進安全模式
C. 比對 "正常且相同作業系統" 下的1所掃到的檔案大小, (或2在機碼所看到的檔案)
因為Windows也有正常的Rundll32.exe與internat.exe, 要看檔案位置在哪
D. 比對之後:
正常且相同作業系統: 沒有這個檔案 > 刪掉
有這個檔案 > 則copy過來, 在安全模式下置換
E. 順便找一找之前掃毒軟體所掃到的HTDLL.DLL或CT1DLL.DLL或CT2DLL.DLL等
有的話刪掉, 不過通常找不到才對....

以上 "收集資訊" > "砍機碼" > "進安全模式刪除或置換檔案" 後,
重開電腦應該就 OK 了

--