|
 | 作者: justobq [justobq]
 论坛用户 |
登录 |
| 我的电脑 中了“PWSteal.Lemir.Gen 病毒”,是一个木马盗号的,用诺顿查了出来,但是说 “文件 C:\WINDOWS\csrss.exe 感染了 PWSteal.Lemir.Gen 病毒。删除失败。”我没有什么正版的其他杀毒工具(好多杀毒软件都要注册才可以杀毒的。) 大家帮帮忙吧,有什么方法手动杀毒的,或者是有什么专杀工具可以用的,我的 是XP系统,谢谢啊~~! |
| 地主 发表时间: 04-06-26 19:19 |
 | 回复: kailangq [kailangq]  版主 |
登录 |
|
一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步): 1,打开“我的电脑”; 2,依次打开菜单“工具/文件夹选项”; 3,然后在弹出的“文件夹选项”对话框中切换到“查看”页; 4,去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态; 5,在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项; 6,去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态; 7,最后点击“确定”。 二、按“Ctrl+Alt+Del”键弹出任务管理器,找到EXPL0RER.EXE进程(注意第5个字母是数字0不是字母O),找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步,只所以要迅速是因为如果动作慢的话,木马可能会自动恢复而再次运行起来,这样就无法删除掉其他木马文件了(如果EXPL0RER.EXE进程再次运行起来需要重做这一步); 三、打开资源管理器进入到 “系统目录\Winnt\System32”下(如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32)。找到EXPL0RER.EXE文件(注意第5个字母是数字0不是字母O)、SysModule32.dll文件,然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了,需要从第二步开始重复做,并且从第二步到第三步一定要迅速,这里建议可以先打开资源管理器选中这几个待删除的文件,在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件,这样一般就可以成功了; 四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件,尝试删除它,不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系,稍后在第七步将介绍如何删除此文件; 五、打开资源管理器进入到 “系统目录\Winnt”下,找到一个 MFCD3O.DLL 文件,手工删除它; 六、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键,把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。 七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件,如果一切正常此时应该可以删除掉它了。 至此,如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。 |
| B1层 发表时间: 04-06-26 19:33 |
| 回复: justobq [justobq] 论坛用户 |
登录 |
|
是csrss.exe 感染了 PWSteal.Lemir.Gen 病毒,不是EXPL0RER.EXE啊,我在WINDOWS文件夹里找过你说的,可是没有什么发现啊,怎么办啊? 谢谢~~ 还有什么其他的方法啊? 谢谢~~ |
| B2层 发表时间: 04-06-28 18:39 |
 | 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
阿Q说的对!没错啊! 难道你中的是新变种病毒么? |
| B3层 发表时间: 04-06-29 09:45 |
| 回复: justobq [justobq] 论坛用户 |
登录 |
|
在进程里面没有发现EXPL0RER.EXE 只发现字母是小写的,是explorer.exe 还有一个是IEXPLORE.EXE 用诺顿查,说是是csrss.exe 感染了那病毒 谁知道?谢谢 |
| B4层 发表时间: 04-06-30 22:56 |
| 回复: kailangq [kailangq] 版主 |
登录 |
|
靠了,大小写你还分得真清楚,Y的脱了衣服你就不认识了?倒,一样的 |
| B5层 发表时间: 04-07-01 00:23 |
 | 回复: clark008 [clark008] 论坛用户 |
登录 |
 |
| B6层 发表时间: 04-07-01 09:15 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
不!不是一样的!阿Q 我的机器也感染过这样的病毒! 大写的是假的! 但是用你上面说的办法可以清楚的! 诺顿也可以查杀的! |
| B7层 发表时间: 04-07-01 10:53 |
| 回复: justobq [justobq] 论坛用户 |
登录 |
|
阿Q有没搞错啊??那个小写的explorer.exe就可以区分是不是病毒,大写的O和数字0很难区分,所以病毒利用这一点。 你还有其他什么办法吗? 告诉我啊,谢谢 或者有什么专杀工具 谢谢 |
| B8层 发表时间: 04-07-01 23:40 |
| 回复: kailangq [kailangq] 版主 |
登录 |
|
去置顶帖里下载木马克星或木马猎手查杀,有注册码 |
| B9层 发表时间: 04-07-02 00:33 |
| 回复: lijingxi [lijingxi] 见习版主 |
登录 |
|
查看system32目录下有没有IEXPLORE.EXE 这个文件! 查看注册表启动项里面有没有IEXPLORE.EXE这个程序的驱动项! 如果有!那么表示有这个病毒! |
| B10层 发表时间: 04-07-03 08:56 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 救救,中了“PWSteal.Lemir.Gen病毒”