開機時出現的問題~

Question

我用的是XP~在開機後\"每次\"都會出現：
我的防毒軟體eTRUST EZAntivirus的視窗要我把它Close
其中我按Info出現
Filename : msabc.dll
Location : C:\\WINDOWS\\system32\\
------------------------------------------------
Infection : Win32/Lineage!generic
Type : File
Status : Deleted
------------------------------------------------
Engine Version : 12.4.1
Signature : 2162
Scanner Type : Real-time

請問這是什麼問題?要如何解決讓它不要再出現了哩?
給我一些詳細的回答吧~各位電腦高手!!!

你好~~我已經用你的方式試過了~
但是我都沒有在電腦裡找到Kerne0110這個檔~
我用搜尋的方式也沒有~~

還有我在msconfig裡面找到有兩個rundll32~
一個是在system裡~一個是在rundll32資料夾~
那我兩個都要取消勾選嗎~~

另外我用搜尋的方式搜尋rundll32的檔案
結果出現五個應用程式和9個PF檔
我現在該怎麼做呢~謝謝

我搜尋電腦裡rundll32的檔案總共14個~
1.記事本的圖案~是在C:﹨WINDOWS
2.記事本的圖案~是在C:﹨WINDOWS﹨Help
3~11.沒有圖案~是在C:﹨WINDOWS﹨Prefetch
12.記事本的圖案~是在C:﹨WINDOWS﹨System
13.一張空白紙的圖案~是在C:﹨WINDOWS﹨System32
14.一張空白紙的圖案~是在C:﹨WINDOWS﹨ServicePackFiles﹨i386

可以跟我說ㄧ下哪些要刪哪些不要刪嗎~~
因為我看之事裡面好像有人隨便刪除~檔案都開不起來..

還有是不是要先在msconfig裡面取消勾選兩個rundll32~
然後再刪掉呢~~謝謝

Answer 1

你的電腦中了毒，這是盜取「天堂」遊戲帳號密碼的木馬程式(不管你有沒有玩天堂都有可能感染)，不過防毒軟體eTRUST EZAntivirus發揮功能把病毒清除了，問題是還有一個產生病毒的程式Kerne0110.exe沒刪除，而且會在你一開機的時候自動執行，所以每次開機都會偵測有病毒檔msabc.dll已經被Deleted，所以你要做的是把Windows開機時自動執行Kerne0110.exe的設定取消掉，並且把Kerne0110.exe刪除。一、刪除windows啟動中Kerne0110.exe程式的啟動設定　　　　「開始」、「執行」、在開啟欄中輸入「msconfig」、「確定」、　　「啟動」中把「啟動項目」裡的Kerne0110.exe前方勾取消、「確定」。　　msconfig設定變動後，下次開機會有一個提示說你系統曾經有過變動，　　只要在提示左下方打勾並關閉提示就可以了。二、刪除電腦裡面Kerne0110.exe程式　　到c:\windows\system32資料夾內把Kerne0110.exe刪除掉，如果無法刪除有可能是因為這個程式正在執行中，請用工作管理員先把Kerne0110.exe結束掉。三、如果msconfig裡面找不到Kerne0110.exe的設定，看看有沒有rundll32.exe(這兩種程式都會產生msabc.dll)，如果二者都沒有，那我就不知道還有哪種程式會在開機時產生msabc.dll囉。祝你好運。

2006-04-16 15:05:05 補充：
c:\windows\system32裡面的rundll32.exe別刪除，這是Windows的正常程式，只要把msconfig裡面自動執行rundll32.exe的設定取消即可(設定Windows開機不自動執行rundll32.exe，並非刪除rundll32.exe)，你注意看msconfig裡面執行的rundll32.exe檔案位置應該不是在c:\windows\system32裡面，這就是病毒狡猾的地方，如果擔心殺錯檔案，只要把msconfig裡面自動執行的rundll32.exe取消即可，這不會對電腦造成任何損害，只不過有個未執行的病毒檔在電腦裡面，心理會怪怪的而已。

2006-04-16 15:26:31 補充：
你把msconfig裡面兩個rundll32.exe都取消，電腦應該就可以正常了。一個是在system裡~一個是在rundll32資料夾~ 的rundll32.exe應該都是病毒產生器，當你取消開機自動執行這兩個程式後，或許防毒軟體就會自動幫你刪除了吧(之前或許是因為防毒軟體無法刪除一個正在執行的程式所致)。

2006-04-16 15:38:45 補充：
我把我電腦裡的rundll32搜尋了一下，跟你一樣有搜尋結果 3~11，13，14，沒有你的 1，2，12這幾個檔案，給你參考唷。

Answer 2

Hello! 我還在工作中,建議你先試試我以往教人解毒的方式..若行不通,我會再找時間參考一些資料來教你處理看看...如果有順利清除病毒,記得將你的防毒軟體移除再重新安裝防毒軟體,並且將病毒碼更新到最新版本再對你的系統硬碟整個做一次掃毒動作,清除餘毒此方法是用來清除無法依靠掃毒軟體清除病毒用的手動方式照我以下方法操作即可刪除被隨著系統啟動的檔案其它那些檔案一樣可以用此方式來清除已經隨著系統被啟動的程序而刪不掉.. (假設msabc.dll檔案)從開始>執行　輸入regedit　按下Enter鍵　開始登錄編輯程式接著從編輯 > 尋找　　輸入 msabc.dll直到找到資料欄裡有寫著"C:\WINDOWS\system32\msabc.dll"的那個字串值(中毒檔案的實際路徑,是看你的防毒程式偵測到的那個檔案路徑在哪)直接把那一行字串值給刪除 (反覆多搜尋幾次　有找到相同路徑跟檔案的都刪)再來是檢查啟動項目內有無不明的執行程式開始＞執行　輸入msconfig　按Enter鍵找啟動項目內　看有沒有不明的執行程式　可先將它取消開機自動執行通常檔案是藏在以下路徑C:\WINDOWSC:\WINDOWS\SYSTEM32C:\Program Files以上路徑只是舉例大部份的,檔名也不一常見的有svhost32.exe,ibm.exe,123.exe,server.exe,service.exe,explorer.exe然後重新開機之後　那個中毒檔案應該可以刪的掉了另外介紹你到賽門鐵克網站　利用線上掃毒　看看系統是不是還有其它病毒（注意：這個只能掃瞄出病毒,無法替你清除病毒)http://www.symantec.com.tw/網頁左下角有一個網路安全診斷室進去之後直接依照步驟執行線上病毒掃瞄即可

2006-04-16 03:26:19 補充：
你好,這是根據你所中的病毒,標準解毒步驟..另外,rundll32檔案不要亂刪除,以免造成無法開機..你說你使用的是Winxp系統..1. 請先呼叫出工作管理員 (按Ctrl+Alt+Del或Ctrl+Shift+Esc)然後切換到處理程序,尋找看看是否有_SVCHOST.EXE的程序在執行中有的話將它結束掉!注意!!病毒是假造檔名的,不要刪錯程序喔!!檔名前面有多加了一個底線 _2.接著重新開機 按F8 進入安全模式 (不要使用網路)

2006-04-16 03:26:31 補充：
3.進入安全模式之後 點"開始" => "執行" 輸入:regedit 然後按Enter接著在登入編輯器裡的左窗,找尋以下路徑...HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run找到有_svchost.exe那行就把它刪除參考資料上是寫：_ System_Run = "%Windows%\_svchost 。exe然後重新開機吧!記得連上面教你清除msabc.dll的步驟也要做!直到沒找到msabc.dll