【正妹跨丟鬼】

病毒 - TROJ_LINEAGE 中毒實錄



前言



　　自從上次發表了 PWSteal.Trojan 中毒心酸史之後，我的 BLOG 湧進了一堆跟我同病相憐的淪流人。不論是彼岸，還是遠從日本而來的朋友（你們看得懂中文，真是令我太壓抑了！），在此感謝各位的支持。



　　在平安無事的這陣子，又有二位同學洩露了他們慘痛的回憶，那就是目前名列驅勢病毒排行榜第六名的 TROJ_LINEAGE.AM 先生。不過我的二位同學的確非常勇敢，都已經中毒一個月了，還是任由他們的存在，無畏於掃毒軟體的警訊。因此我也要將這篇討論，送給這二位天兵，也感謝他們，因為有你們大無畏的精神，才造就了這篇文章的誕出，謝謝了。



　　整理了Ｎ篇的報告，才發現其實最近這幾支病毒，大部份都是跟線上遊戲（好像是天堂II）有關係，也很多都是 PWSteal.Trojan 的相關變種。



截至目前為止，至少就有以下幾種：



TROJ_LINEAGE.A

TROJ_LINEAGE.AM（這就是我同學中的）

TROJ_LINEAGE.F

TROJ_LINEAGE.I

TROJ_LINEAGE.L

TROJ_LINEAGE.M

TROJ_LINEAGE.N

TROJ_LINEAGE.P

TROJ_LINEAGE.W

TROJ_LEGMIR.Y

TROJ_LINAGEAL.A

HKTL_LINEAGE.F

TROJ_LEGMIR.AA

TROJ_LEGMIR.AD



　　在下面所整理的方法，我會將上述病毒的解決一次解決，若是用詞上與前篇雷同，純屬故意，因為我實在是懶得再想新的口氣來說明這個討厭的事情了。



方法



　　以下僅適用於 XP 系統，而在執行以下所有動作時，也請在先至「我的電腦」→「控制台」→「系統」→「系統還原」，執行「關閉所有系統還原」，並且重新開機進入安全模式。



　　使用掃毒程式，查詢出目前所有已感染上述病毒之檔案，並且使用刪除的方式，將檔案移除。



　　使用「Ctrl + Alt + Delete」，將 rundll32.exe 停止執行。



　　在「程式管理員」中，檢查是否有以下檔案正在執行，若是有的話，也請一併關閉。若是有其他惡意軟體的程序，也一併關掉。



EGHOST.EXE

IPARMOR.EXE

KAVPFW.EXE

MAILMON.EXE

PASSWORDGUARD.EXE

RAVMON.EXE

ZONEALARM.EXE



　　依序檢查以下檔案，若是有存在，請將其刪除。



C:\Program Files\rundll32.exe（60K左右）

C:\Program Files\iexpoloer.exe

C:\Program Files\explorer.exe

C:\Program Files\internat.exe

C:\Windows\System32\Htdll.dll

C:\Windows\System32\ct1dll.dll

C:\Windows\System32\ct2dll.dll

C:\Windows\iexpoloer.exe

C:\Windows\internat.exe

C:\Windows\System32\exploret.exe

C:\Windows\System32\systemlt.dll



　　請在「開始」→「執行」，打入 regedit.exe，請先備份原始機碼，再進行修改！若是因為改錯了，而造成系統毀滅，請不要找我。



　　若是有符合以下的機碼，請刪除該部份。



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有 rundll32.exe 後面沒有任何參數的，請刪除之。



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadMect1



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadMect2



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadMep2



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\sysMett1 = "%Program files%\%Malware file%"



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ WindowsUpdata = "%Windows%\windowsupdata.exe"



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ Loadmefk = ""



請以 exploret.exe 為關鍵字，將所有相關機碼都刪除掉。



若是在上述的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中有機碼的值與原本的病毒相同時，也請一併移除掉。　　



　　重新開機後，原則上就解毒成功了！再把天堂II給移除掉，若是需是要玩，請再重新安裝。還有，要記住要再把「系統還原」的功能重新打開喔。



　　為什麼說原則呢？因為這個病毒太多變了，以上的總整理，也是我看了Ｎ篇不同症狀所整理出來的結果。所以請大家要多保重了。



PS.若嫌太麻煩的話，FORMAT硬碟，重灌吧!!