中Infostealer.Lineag木馬，請問如何徹底移除

Question

病毒名稱Infostealer.Lineage
一開始每隔一段時間防毒軟體會發現病毒
病毒位置都在
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\tw1.exe
而我用強制殺除木馬的程式可以把病毒殺掉，
不過每次重開機後這個病毒又會跑出來並且被防毒軟體找到放置隔離所，而且都是tw1.exe　這一隻程式

後來現在似乎病毒又突變了出現　　854tw1.exe　（前面加數字）
病毒位置都一樣，同樣的問題以經遲續好幾天了一直沒辦法解進
這台電腦是server所以不能重灌太大費周章，希望各位解毒高手能幫個忙，而且我在網路上搜尋很多種方法機乎都沒效，因為到安全模式下這個病毒似乎不會自動產生所以根本找不到。謝謝！！！感激不進

我使用的作業系統是 window server 2003
所以登錄檔我似乎沒有找到你列出來的那些，不過我覺得問題出來登錄檔上，因為只有在重開機的時候會一直復製出病毒出來，過一斷時間就不會了，可以在請問我這個病毒的登錄檔資訊?
及要把它刪除的方式。謝謝

Answer 1

您好

Q:病毒名稱Infostealer.Lineage
一開始每隔一段時間防毒軟體會發現病毒
病毒位置都在
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1\tw1.exe
而我用強制殺除木馬的程式可以把病毒殺掉，
不過每次重開機後這個病毒又會跑出來並且被防毒軟體找到放置隔離所，而且都是tw1.exe　這一隻程式

後來現在似乎病毒又突變了出現　　854tw1.exe　（前面加數字）
病毒位置都一樣，同樣的問題以經遲續好幾天了一直沒辦法解進
這台電腦是server所以不能重灌太大費周章，希望各位解毒高手能幫個忙，而且我在網路上搜尋很多種方法機乎都沒效，因為到安全模式下這個病毒似乎不會自動產生所以根本找不到。謝謝！！！感激不進

A:其實如果病毒會跑到隔離所

那應該就沒有問題了

但是如果你希望可以把病毒移除的話

試試看這個吧~
這不是廣告哦~⊙.⊙~
我想大家都有過有這樣的經驗－在刪除檔案或目錄時，卻被系統告知因為檔案正在被某個程序使用而無法順利刪除，可是卻又無法找出到底是那個程序佔用了該檔案。

其實是有方法的，那就是"Unlocker" 這個程式，可以幫你解決問題。

相信許多使用者在進行檔案或目錄的刪除時都碰過底下的問題，就是被系統告知，"檔案被某個程序所佔用，無法順利被刪除，請將程式關閉後再行執"

但是令人百思不得其解的是，該檔案到底是被誰所佔用呢？是那個程序導致使用者無法將檔案刪除呢？就讓我們來使用 " Unlocker" 來解決吧！

Unlocker 是一個免費的右鍵擴充工具，使用者在安裝後，它便能整合於滑鼠右鍵的操作當中，當使用者發現有某個檔案或目錄無法刪除時，

只要按下滑鼠右鍵中的「Unlocker」，那麼程式馬上就會顯示出是哪一些程序佔用了該目錄或檔案，接著，***先選擇左下方的動作，有「無動作」、「刪除」、「移動」、「重新命名」等，接著只要按下視窗中的動作路徑，「Unlock」就能夠為你的檔案解套囉。


Unlocker 不同於其他解鎖軟體的部分在於它並非強制關閉那些佔用檔案的程序，而是以解除檔案與程序關連性的方式來解鎖，因此不會像其他解鎖程式一樣因為強制關閉程序而造成使用者可能的資料遺失。

真的超好用的哦~

Unlocker 的安裝非常簡單，使用者於下載後，只需雙擊檔案就能進行安裝，在安裝的過程中，程式會讓使用者選擇要將 Unlocker 直接整合進滑鼠右鍵選單或是「傳送到...」項目中，讓使用者能夠更有彈性地呼叫它。這個程式是免費的軟體，而且還是國際版(有繁体選擇)，趕快下載吧~好東西大家分享^^/

以下是官網連結
http://ccollomb.free.fr/
官網下載連結
http://ccollomb.free.fr/unlocker/index.htm#download



以上請參考

2007-03-23 14:25:20 補充：
用我以上提供的方法移除即可

2007-03-23 14:38:24 補充：
要保護自己的電腦，需要安裝四個軟體---以下不是要廣告軟體

1.安裝AVG AntiVirus Free Edition (這是防毒軟體)

2.安裝Windows Defender (這是反間諜軟體)

3.安裝COMODO Firewall Pro (這是防火牆)

4.安裝McAfee SiteAdvisor (這是防止病毒木馬網頁軟體)

5.常去微軟網站更新 (去微軟站更新即可)

6.少下載執行檔 (電腦中毒的原因大部分都是下載執行檔才中毒的)

我以上介紹的軟體皆為免費軟體。

以上請參考

2007-03-23 14:38:54 補充：
微軟網站更新網址

http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=zh-tw

每天都要去微軟網站更新喔

2007-03-26 10:50:49 補充：
使電腦不中毒五大步驟


1.安裝防毒軟體


2.安裝專門檔木馬間諜惡意程式的軟體


3.安裝防火強


4.每星期更新自己的電腦


5.不要上色情網站、不要亂下載東西等，都可以防止自己電腦中毒

Answer 2

版大：您使用賽門鐵克防毒軟體［由病毒名稱判斷，因為不會有任何一家防毒公司的病毒名稱是一樣的。］
下列指示是針對目前市面上所見的最新賽門鐵克防毒產品所撰寫，包括 Symantec AntiVirus 與 Norton AntiVirus 的產品線。


停用「系統還原」(Windows Me/XP)。
更新病毒定義檔。
將電腦重新啟動在安全模式。
執行完整的系統掃描，刪除所有偵測到的 Infostealer.Lineage 檔案。
恢復對登錄所做的變更。
如需關於這些步驟的詳細資訊，請閱讀下列指示。

1. 關閉系統還原 (Windows Me/XP)
如果您執行的是 Windows Me 或 Windows XP，建議您暫時關閉「系統還原」。Windows Me/XP 使用這個預設啟用的功能，來還原您電腦上受損的檔案。如果病毒、病蟲或特洛伊木馬感染的電腦，「系統還原」可能會一併將電腦上的病毒、病蟲或特洛伊木馬備份起來。

Windows 會防止包括防毒程式的外來程式修改「系統還原」。因此，防毒程式或是工具並無法移除「系統還原」資料夾內的病毒威脅。因此即使您已經將所有其它位置上的受感染檔案清除，「系統還原」還是很有可能會將受感染的檔案一併還原至電腦中。

同時，病毒可能會偵測到「系統還原」資料夾裡的威脅，即使您已移除該威脅亦然。
更新病毒定義檔
您可在下列網址取得 Intelligent Updater 病毒定義檔： 如需詳細說明，請閱讀「如何使用 Intelligent Updater 更新病毒定義檔」。
以「安全」模式重新啟動電腦
掃描並刪除受感染的檔案：Norton AntiVirus 消費者產品：閱讀「如何設定 Norton AntiVirus 以掃描所有檔案」；Symantec AntiVirus 企業版產品：閱讀「如何確認 Symantec Corporate 防毒產品已設定為掃描所有檔案」

執行全系統掃描。
如果偵測到任何受 Infostealer.Lineage, 感染的檔案，請按下「刪除」。
如果仍然在「安全」模式，請在進行下一節之前，以「正常」模式重新啟動電腦
還原登錄所做的變更：重要： 對系統登錄進行任何修改之前，賽門鐵克強烈建議您最好先替登錄進行一次備份。對登錄的修改如果有任何差錯，嚴重時將會導致資料遺失或檔案受損。只修改指定的子登錄鍵。如需操作說明，請閱讀「 如何備份 Windows 的登錄」文章



跳到這個機碼：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


在右窗格中，刪除值：

"[隨機名稱]" = "%ProgramFiles%\rundll32.exe"
"[隨機名稱]" = "%ProgramFiles%\explorer.exe"
"[隨機名稱]" = "%ProgramFiles%\Internat.exe"
"[隨機名稱]" = "%windir%\rundll32.exe"
"[隨機名稱]" = "%windir%\Internat.exe"


結束「登錄編輯器」。