徵求 電腦病毒...Possible_Infostl...

Question

請問一下有人知道....Possible_Infostl....這個病毒
我的pc-cillin有掃到...
可是無法刪除...
用病毒刪除工具也刪不掉...
請問有人聽過和知道如何解ㄇ...
徵求電腦高手..拜訪啦...
真的不想重灌...

Answer 1

提供殺毒參考:

去卡巴線上掃毒
如不幸真的中毒後請記錄中毒位置


防木馬間諜 AVG Anti-Spyware7.5.0.50 綠色繁體中文化版(含即時防護)

RS空間下載

ES空間下載
(↑File size: 6629Kb. Downloaded: 331 times )










壓縮包內update.exe為啟動器,umain.exe為更新主程序每次升級後，只要請再輸入注冊碼，即可變為加強版。同時提醒一下，升級需點擊二次。綠色版實行即時監空方法運行目錄下的install.bat安裝、uninstall.bat移除、加右鍵掃描方法運行目錄下的!右鍵設置.bat!右鍵解除.bat。

中文化檔 http://w10.easy-share.com/667209.html
將 chinese.mo 繁體中文化文件 copy到 你解壓縮的AVG的Translations目錄內再工作欄右下角AVG圖示按右鍵選Chinese就是繁體中文版




開機後(f8)請於安全模式下執行~關閉系統還原

清除木馬推薦
去找費爾強力殺毒工具~
使用powerrmv 找到病毒 位置如:C:\WINDOWS\*.*(不幸中木馬位置)~仰制檔案再次生成也勾選~
將其殺掉即可!
以下網址就是它啦!
圖片參考：http://tw.yimg.com/i/tw/blog/smiley/14.gif

強力殺毒工具


2007-01-14 23:54:14 補充：
下載完強力移除程式後~請記得要於(f8)安全模式下&
關閉系統還原~後使用即可喔!

Answer 2

一、請先下載此機碼檔案，儲存於桌面上
（如電腦以無法上網，請您利用其他可連線的電腦下載並轉移程式到問題電腦來執行）

http://211.76.133.72/UploadFiles/Support/Files/fix-windows.zip

(下載後請將 fix-windows.zip 解壓縮，解壓縮密碼 novirus，會產生 fix-windows.reg 登錄檔)

二、執行修復病毒修改的機碼值

點選執行解壓縮後的 fix-windows.reg，當跳出確認視窗請點選「是」，匯入成功後再點選「確定」即可.

三、重新開機到安全模式下

1.重新啟動您的電腦
2.當螢幕畫面一出現就重覆按 ﹝F8 鍵﹞ (請勿按著不放），直到出現選擇畫面
3.請選擇到第一個項目「安全模式」，按 ENTER

四、刪除病毒檔案

1.請開啟「我的電腦」
2.請點選 [工具│資料夾選項]，請選擇「檢視」項目
3.請在進階設定中，將「隱藏已知檔案類型的副檔名」與「隱藏保護的作業系統檔案」此二個選項取消勾選
4.請在隱藏檔案和資料夾 中，請點選「顯示所有檔案和資料夾」，並點選確定
5.尋找下列路徑，並將尋找到的資料夾或檔案刪除
C:\Windows\system32\PDLL.DLL

（如無法刪除檔案請將檔案更名為123再重開機到安全模式後刪除）

五、如您為Windows XP版本請關閉「系統還原」並重新掃描您的電腦(如不是XP版本請直接執行步驟9)：

1.按下「開始」。
2.選擇「設定│控制台」或「控制台」(依您的檢視模式會有所差異)。
3.點選「效能及維護│系統」或「系統」(依您的檢視模式會有所差異)。
4.按下「系統還原」標籤。
5.勾選「關閉系統還原」或「關閉所有磁碟上的系統還原」。
6.按下「套用」，然後按下「確定」。
7.如訊息中所說，這將會刪除所有現存的系統還原 。 按「是」繼續。
8.按「確定」。
9.重新啟動您的電腦並將PC-cillin更新至最新的防毒元件再手動掃瞄一次，檢查病毒是否清除成功。
(註:掃描後確定已無病毒後，您可再將「關閉系統還原」或「關閉所有磁碟上的系統還原」取消勾選以建立新的還原點。)

Answer 3

問 題：
請問一下有人知道....Possible_Infostl....這個病毒
我的pc-cillin有掃到...
可是無法刪除...
用病毒刪除工具也刪不掉...



回 答︰
木 馬 病 毒 無 法 被 刪 除，
是 因 為 【 病 毒 檔 】會 和 你 的 電 腦 【 系 統 檔 】 連 結，
當 你 啟 動 電 腦 時，
病 毒 檔 就 會 跟 著【 系 統 檔 案 】連 結 運 作。
掃 毒 軟 體 對 於 運 作 中 的 檔 案 是 無 法 刪 除 的！
尤 其 是 系 統 中 的 .dll 或 .exe

因 此，
如 果 想 要 刪 除 病 毒，
就 必 須 先 解 除 病 毒 與 電 腦 系 統 檔 的 連 結！

★ Unlocker － 解 除 佔 用 檔 案 又 無 法 刪 除 的 程 式 ★

★ http://home.kimo.com.tw/veronica_20060322/Aa_00001index.html ★



Unlocker ( 繁 體 中 文 軟 體 ) 不 同 於 其 他 解 鎖 軟 體 的 部 分
是 在 於 它 並 非 強 制 關 閉 那 些 佔 用 檔 案 的 程 序，
而 是 以 解 除 檔 案 與 程 序 關 連 性 的 方 式 來 解 鎖，
因 此 不 會 像 其 他 解 鎖 程 式 一 樣 因 為 強 制 關 閉 程 序
而 造 成 使 用 者 可 能 的 資 料 遺 失。

★ 程 序 說 明︰

01︰利 用【 掃 毒 軟 體 】找 到 病 毒 的 所 在 位 置。

02︰ 找 到 病 毒 後，對 著 病 毒 檔 案 【 按 下 右 鍵 】，
此 時 會 出 現 【 對 話 方 塊 】選 單。

03︰在 選 單 中 選 取【 Unlocker 】，
此 時 【 Unlocker 】會 出 現 【 對 話 方 塊 】選 單。

04︰在 Unlocker 的 選 單 中 選 取【 全 部 解 鎖 】。

05︰解 鎖 的 動 作 完 成 。

--------------------------------------------------------------------------------

當 你 完 成 上 述 的 【 解 除 連 結 】步 驟 後，
接 著 就 是【 刪 除 病 毒 】了 唷 ！

★ Pocket KillBox：幫 你 砍 掉 惱 人 難 刪 的 檔 案 ★


★ http://home.kimo.com.tw/veronica_20060322/Aa_00002index.html ★
( 軟 體 語 系：英 文 )

相 信 不 少 朋 友 都 曾 遇 過 某 些 檔 案 怎 麼 砍 也 砍 不 掉 的 狀 況，
尤 其 是 中 了 病 毒 或 木 馬 的 檔 案 最 容 易 有 這 種 情 形，
在 束 手 無 策 的 當 下 真 的 會 讓 人 急 瘋 ！

別 怕，
只 要 有 了 Pocket KillBox，
你 就 可 以 輕 輕 鬆 鬆 的 刪 掉 這 些 檔 案 了！


★ 程 序 說 明︰

雖 然 本 軟 體 為 【 英 文 語 系】，

但 是 它 的 操 作 介 面 十 分 的 具 有 親 和 力！

只 要 把 檔 案 位 置 寫 在 Pocket KillBox 裡 的 長 方 形 空 白 處，

或 是 複 製 檔 案 位 置，直 接 貼 上 也 可 以！

然 後 再 按 下 右 邊 【 圓 形 紅 色 】的 X 圖 形 ，

接 下 來 就 會 出 現 中 文 的 對 話 方 塊，

然 後 照 著 他 的 對 話 方 塊 指 示 操 作 即 可！

--------------------------------------------------------------------------------

以 上 軟 體 是 互 輔 性 軟 體，

兩 者 搭 配 使 用，

無 往 不 利；所 向 無 敵！

Answer 4

怎麼把這病毒刪除掉呢？ （個人經驗，不一定完全正確喔！）

(操作環境：Windows XP)

1.按下開始 / 執行/ 輸入 regedit



2.出現「登錄編輯程式」的視窗



找到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon，

再找到「Userinit」這名稱，滑鼠點擊兩下，將它的值最後面多出來的「c:Program......svchost.exe」刪除掉。
並改回成
「C:WINDOWSsystem32userinit.exe,」（注意最後面要有逗號「,」）



3.重新開機

（若不重開機，無法刪除底下的兩個檔案）

4.將底下兩個檔案刪除

C:WINDOWSsystem32PDLL.dll
C:Program FilesWindows Media Playersvchost.exe




應該是這樣就完成了。

那這病毒到底會有什麼影響呢？根據趨勢trend的說明

Information Theft

This spyware monitors the Internet Explorer (IE) activities of an affected user. It steals account-related information, such as user names and passwords, from the online game Lineage. It does the said routine by logging keystrokes when users access particular URLs related to the said game.

It then saves the gathered information in a certain text file, which it sends to a predetermined email address using its own Simple Mail Transfer Protocol (SMTP) engine.

應該就是偷IE裡的帳號、密碼吧！

這讓我想到朋友寄來的那封信，裡頭還有一堆她通訊錄裡的收件人，看起來應該不是假造的信件，我猜測可能是有人偷了她yahoo信箱的帳號及密碼，再以她的帳密登入後，再寄出這病毒信。

建議有中毒的人，殺完毒後，趕快去改改信箱的密碼吧！

12/4日補充


--------------------------------------------------------------------------------

前面說過之前幫幾台電腦解過毒，那些中毒的電腦跟這個.com附檔的徵狀有些些不同。

首先，怎麼看你的電腦是否中了這類型的毒呢？

你可以開啟檔案總管，連到c:windowssystem32下面， 切換檢視模式為「詳細資料」，按下「修改日期」讓最新變動過的檔案排在最前面。



看看你這台電腦剛剛開機的時間，是否有一些PDLL.dll、hhyy.dll 等 dll 的檔案，假如有，那就恭喜你中獎了。

假如有這些東西，請執行 regedit，找到

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun



上面Run裡頭的登錄檔，就是你一開機時會載入執行的程式，看看有沒有一些奇怪的東西。你一定會問，什麼是奇怪的東西呀？這我實在很難回答，因為之前解毒後並沒有把那些資料紀錄起來。
(951208更新：大概就像上圖中黃色的部分)

大概看一下Run上面是不是有一些執行檔，印象中在上圖的「名稱」裡有一些PDLL.dll、hhyy.dll...等，它們在「資料」裡的位置為

c:windowsconfigsvchost.exe
c:windowsdownloadsvchost.exe
c:windowsrundll32.exe
上面svchost.exe及rundll32.exe的正確位置是在c:windowssystem32裡。假如你在你的 Run 裡看到這些，請把他們刪除，另外若有看到出現亂碼的，建議也把他們刪除掉（請記得事先備份一下）
再重新開機。

開完機後，再去將上面多餘的svchost.exe、rundll32.exe等檔案及c:windowssusyem32裡的一些PDLL.dll、hhyy.dll等刪除掉（若無法刪除，出現檔案正在使用中的訊息，大概表示你的Run登錄檔裡的資料未清除乾淨）。

大概就是這樣吧！若下次有碰到重這些毒的檔案，我再來詳細記錄一下。