PWStea1.Lineage病毒，很苦惱，電腦不能動

Question

PWStea1.Lineage這個病毒我不多做解釋，
會的人就會知道，
我現在這台電腦是樓下第２台，
非中毒電腦，中毒那一台，因為病毒纏身，
現在臥病在床動不了，我想問PWStea1.Lineage這個病毒怎麼解決，
無法直接刪除，還有就是，我是解決病毒的菜鳥，
頭一次因為搞到中毒所以自己處理，以往都叫人重灌，

所以不要回答的很商業化ＯＲ很正式，
詳細一點，例如　路徑詳細　　步驟不要用一些名詞帶過，
一步一步慢慢來，

我找過其他知識，我都看無，　關鍵字就打　PWStea1.Lineage　

就一堆知識，但我幾乎看無，所以最好是親身經驗分享＞　＜～！


ＰＳ 中毒電腦動不了 ，要怎殺病毒也是一個問題．．．

HIJACKTHIS裡勾選：
O4 - HKLM\..\Run: [rro] C:\WINDOWS\rundll132.exe
然後按FIX CHECKED按键修復。
重新啟動電腦，删除
C:\WINDOWS\rundll132.exe
C:\WINDOWS\system32\rodll.dll（如果存在）
如果看不到以上文件，可以使用WINZIP, WINRAR等軟體打開鄉關目路檢查是否被隐藏。

以上
除了這裡，我都會了，我看到很多不是安全
的東西（ＥＸＥ？）

但是去哪裡勾選O4 - HKLM\..\Run: [rro] C:\WINDOWS\rundll132.exe
這個？　我不大懂～！

Answer 1

許多電腦使用者會經常遇到自己的防毒軟體報告發現 PWSteal.Lineage這種病毒但卻無法清除和隔離它的情況或者是在清除後不久它又出現了，讓人非常苦惱。這時該怎麼辦呢？ 其實 PWSteal.Lineage 是某些防毒軟體對某類遊戲木馬的一種統稱它並不代表著固定的一個，而是一類所以即使遇到同樣名子的木馬可能它們也並不相同。費爾托斯特安全是一款可以清除木馬和病毒的軟體並且有很強的清除能力如果您有它的正式版可以在升級到最新病毒碼後嘗試用它掃瞄清除一下但這裡需要特別提醒一點： 由於這類木馬新變種層出不窮所以不能保證費爾托斯特安全能夠識別出目前所有的或者您遇到的。那麼除此之外難道就沒有其他辦法了嗎？有的，下方就介紹一個借助免費工具「費爾木馬強力清除助手」(此工具已經集成到費爾托斯特安全新版本中了)來清除這種頑固性 PWSteal.Lineage 木馬的方法： 使用這個方法前必須要先知道這個木馬的檔案名是什麼。防毒軟體在發現木馬後一般都會報告它的完整檔案名，您需要先準確的記錄下這個檔案名。比如：如果防毒軟體提示 C:\Windows\hello.dll 是 PWSteal.Lineage，則記下 C:\Windows\hello.dll 這個名子。這裡需要注意檔案名一定要記準確，因為有許多木馬會把自己的檔案名故意偽裝成和正常的檔案名很接近，比如 svch0st.exe(木馬)->svchost.exe(正常)、Expl0rer.exe(木馬)->Explorer.exe(正常)、intrenat.exe / internet.exe(木馬)->internat.exe(正常)等等。特別是數位0幾乎和大寫字母O一樣，很容易讓人看錯，所以一定要注意區分它們，否則萬一記錯將有可能把正常的檔案清除掉，那就麻煩了； 暫停防毒軟體的即時監控，這一點很重要，否則在清除時可能會被阻止而無法成功。比如如果當初是你的諾頓發現了這個木馬，那麼請先暫停諾頓的即時監控或即時掃瞄； 費爾木馬強力清除助手http://dl.filseclab.com/down/powerrmv.zip 釋放 PowerRmv.zip 到一個目錄，然後執行其中的 PowerRmv.exe 啟動「費爾木馬強力清除助手」。在「檔案名」中輸入要清除的木馬檔案名。比如如果您在第1步中記下的檔案名是 C:\Windows\hello.dll，那麼這時就輸入它； 按「清除」。這時程式會詢問你是否要舉報此病毒到費爾安全實驗室，建議點「是」表示同意。接著程式會繼續提示是否確定要清除它，仍然選「是」； 之後，如果此木馬被成功清除程式會提示成功；或者也可能提示此木馬無法被立即刪除需要重新啟動電腦。無論是哪種情況請點選「確定」，這時如果您在前面同意了舉報此木馬那麼程式會自動創建並開啟一個「病毒舉報」的電子郵件，其中會包含這個木馬的樣本檔案，如果您看到了這個郵件請把它直接傳送給 virus@filseclab.com 。如果您並沒有看到這封郵件也沒有關係，可以忽略。 最後，如果程式前面提示了重新啟動電腦後才能清除那麼請一定重新啟動您的電腦，在電腦重新啟動後這個木馬應該就被清除掉了。 重要提示： 如果您按上面的方法操作之後，發現不久這個木馬又出現了並且還是同樣的檔案名，那麼您可以用上面的方法再重複執行一次不過這次操作時請選擇程式中的「抑制檔案再次生成」選項這樣清除後一般木馬就很難再復活了。這個功能是最新版「費爾木馬強力清除助手」中提供的如果您的沒有這個選項，請從上面的位址中重新下載一次。 注意： 「費爾木馬強力清除助手」有很強的檔案刪除能力，清除後的檔案將無法再還原，所以在清除前一定要確定檔案名沒有輸入錯誤。 如果您按上面的方法操作後仍然不能成功清除掉木馬，則可能是電腦中還存在著另外一個更主要的木馬，在它被清除後會自動從另外一處還原。這時您需要用防毒軟體掃瞄出所有的這些木馬，然後逐一或同時清除才行。 祝你好運^ ^

2006-04-09 12:57:38 補充：
請問您的問題解決了嗎?
如果沒有
我們還是會繼續幫忙的^ ^

Answer 2

問題都解決了^^謝謝大家!!!!!

Answer 3

HijackThis ，一個一般的首頁劫持者發現者和移轉者。
最初基於首頁被劫持！，但是以對抗劫持者詭計的幾乎十二個其他的檢查擴大。 它不斷地被更新發現並且除去新的劫持。
它不瞄準特定的計畫／網址，只是被劫持者使用在他們的位置之上強迫你的方法。

下載:
http://www.merijn.org/files/hijackthis.zip

線上檢查:
http://hijackthis.de/index.php?langselect=english
把你的RUN結果貼在" You can paste a logfile in this textbox "
再按下"Analyze"
等一下子就會跑出結果了
從裡面找出不是"Safe"的項目
去檢查你的電腦
...................................................................................................................................
HIJACKTHIS裡勾選：
O4 - HKLM\..\Run: [rro] C:\WINDOWS\rundll132.exe
然後按FIX CHECKED按键修復。
重新啟動電腦，删除
C:\WINDOWS\rundll132.exe
C:\WINDOWS\system32\rodll.dll（如果存在）
如果看不到以上文件，可以使用WINZIP, WINRAR等軟體打開鄉關目路檢查是否被隐藏。

2006-04-08 10:27:10 補充：
想不到不能補充了
去哪裡勾選O4 - HKLM\..\Run: [rro] C:\WINDOWS\rundll132.exe
這個？
要看你所發現的病毒是不是這個rundll132.exe
如果是的話
才可能有這個勾選
如果是別的
就要勾選別的

2006-04-08 10:34:25 補充：
用這個軟體掃到防毒軟體的病毒後
按fix
確定後就會重新開機
然後應該這個狀況就會不見


註:
你要用這個軟體掃描後
才會發現有沒有這個病毒
然後你在框框裡勾選