費爾托斯特安全可以完全刪除掉此病毒(托斯特顯示病毒名為「Backdoor.PWStealer」),如果手上有它的正式版可以使用它掃瞄並刪除。如果目前沒有也可以用下方的方法手工刪除它(注意以下方法測試於Windows2000/XP/2003/NT,9x/me下可能有些略有不同,這時您可以使用費爾托斯特安全刪除):
一、請先去把系統設定為「顯示隱藏檔案」,因為病毒以隱藏內容偽裝,不做此設定將無法看到它,設定的方法如下(如果系統已經做了此設定可以跳過這一步):
- 開啟「我的電腦」;
- 依次開啟菜單「工具/資料夾選項」;
- 然後在彈出的「資料夾選項」對話框中切換到「檢視」頁;
- 解除「隱藏受保護的作業系統檔案(推薦)」前面的對鉤,讓它變為不選狀態;
- 在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項;
- 解除「隱藏已知檔案類型的副檔名」前面的對鉤,也讓它變為不選狀態;
- 最後點選「確定」。
二、開啟「開始/執行」,輸入「regedit」後「確定」以開啟註冊表編輯器,進入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run鍵下,在右邊列中,找到一個名為「;Rundll」的值,如果找到請按兩下開啟看,檢視並記下「數值數據」中指示的檔案及路徑名,一般為「C:\WINNT\System32\XXXX.exe」的形式(但並不固定,這要根據具體的環境而變化),注意其中的「XXXX.exe」代表的是任意值,並不固定,而不是4個X,所以這時一定要記清這個「XXXX.exe」所代表的檔案名,記下後然後從註冊表中刪除這個「;Rundll」值;
三、按「Ctrl+Alt+Del」鍵彈出排定的工作,找到在上面第二步中記下的「XXXX.exe」的行程(注意這裡的XXXX.exe是具體的名稱而不是4個X)。找到有相同的行程後選擇它並點選「結束行程」以結束掉木馬行程;
四、開啟資源管理員進入到 「系統目錄\Winnt\System32」下(如果您的win2000/nt/xp安裝在C盤則就是 C:\Winnt\System32)。找到XXXX.exe和XXXX.dll檔案然後直接刪除它們(當然,這裡的XXXX所代表的仍然不是4個X,而是具體的名稱);如果在刪除過程中發現XXXX.dll刪除不掉,而是報告「檔案正在執行中無法刪除」,則可以登出或重新啟動一下電腦,然後再按此方法找到並刪除它就可以了。
至此,如果一切順利您就應該可以刪除掉此木馬了。
|