【求助】PWSteal.Trojan這個是天二的病毒嗎?請幫幫忙

**xu3fu30** · 2005-04-21, 06:40 PM

我電腦灌諾頓
最近一開機就有個中病毒的視窗出現
病毒名是PWSteal.Trojan
檔案在C:\WINDOWS\System32\Divapi.dll
請問要怎麼解掉阿~諾頓刪不掉
直接近WINDOWS裡刪他說有此檔案在使用無法刪除
請各位幫幫忙好嗎?

PS. 打開程式管理員的處理程序發現在下面有2個很相似的檔案
wuauc1t.exe
另一個是wuauc1 t.exe....(t前面多一個空白??= =)
下面那個使用者是SYSTEM
這是什麼?要刪掉嗎?怎麼刪阿......

小弟衷心感謝各位

**u11738** · 2005-04-22, 11:17 PM

請參考：
http://securityresponse.symantec.com...al.trojan.html

**xu3fu30** · 2005-04-23, 12:00 AM

英文看不懂....

而且他哪邊有說明刪病毒的檔阿??

**papashoun** · 2005-04-23, 11:50 AM

有網友的解決方法是:
(第1種)
首先..按開始->執行->輸入regedit並執行,
尋找目錄..
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
裡面會有..
名稱..Sys_Run 資料..C:\WINNT\ghost.exe
找到後刪除他

再到處理程式裡找ghost.exe大小59KB,
砍掉他,就這樣啦,謝謝收看 ^_^

我按照他的方法解..nsvc.dll就砍掉了重開之後也沒找到了諾頓也沒有跳出來了!!

節錄自易學網的DIY大大謝謝

(第2種)
用panda鈦金版防毒軟體試試看,如果你有完RO仙境傳說的話,在【黑色派對第二片光碟裡面,是一個執行檔←exe,一個熊貓的圖案,蠻好用的說,我重了PWSteal.Trojan,諾頓每開機必跑警告出來,用了panda以後,只跑出依次警告【發現病毒,PWSTeal,Tr..... ,已刪除】實在佩厲害所以用看看

**xu3fu30** · 2005-04-23, 09:00 PM

以上方法我在網路都先找過試過了
但HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
的裡面,並沒有名稱..Sys_Run 資料阿
有別的方法可以解嗎?
Divapi.dll這個是什麼檔案阿?

還有wuauc1t.exe與wuauc1 t.exe
後面的那個檔案我搜尋找到他,該刪除嗎?
這個檔案錯用來做什麼的?

每次程式管理員的處理程序
將後面這個關掉以後~才能將WINDOWS的Divapi.dll刪除
但下次開機才一開又跑出來
諾頓又立刻檢查到...天押~~

**papashoun** · 2005-04-24, 08:24 AM

http://tw.knowledge.yahoo.com/questi...=1005021600465
這篇好像有點關係吧~

http://www.esharer.com.tw/dis_group/...&title_id=6630
這裡的問題好像跟你的一樣~在最下面回應日期2005.4.23

**阿土** · 2005-04-25, 10:56 PM

加上兩個解法 , 有需要請多加利用

http://blog.blueshop.com.tw/mars/arc...11/20/845.aspx

http://tw.knowledge.yahoo.com/questi...=1105041704040

**jbcrobert** · 2005-04-27, 12:28 PM

請參閱下列網頁2005.4.22及4.23由nadyia所回應及後面所回應的文章,應能解決你的問題.
http://www.esharer.com.tw/dis_group/...?title_id=6630

**quell** · 2005-04-28, 10:49 AM

我碰到過，也解決了....
很爛的方法，我用ADAWARE6.0+xsoft 2套掃木馬的軟體把他掃掉了
我的情況是NORTON無法線上更新，掃除後就可以更新了，但跟這個是否有關就不知道了，因為同時間不只中這一隻，另外還留著一隻解不掉...

**andylau927** · 2005-12-29, 09:23 AM

●症狀：

PWSteal.Trojan 是一種試圖竊取登錄者姓名及密碼的特洛依木馬程式，這些被竊的密碼通常會被傳送至一個匿名的電子郵件信箱中。而這個特洛依木馬程式仍然是最常被舉報會偷密碼的特洛依木馬程式的其中一個。
●別名：

DUNS.PWS、 DUNSPWS.Y、BKDR_DUNS.PWS、Trojan Horse
●解決方法：
以下僅適用於 XP 系統，而在執行以下所有動作時，也請在先至「我的電腦」→「控制台」→「系統」→「系統還原」，執行「關閉所有系統還原」，並且重新開機進入安全模式。
使用掃毒程式，查詢出目前所有已感染 PWSteal.Trojan 之檔案，並且使用刪除的方式，將檔案移除。
使用「Ctrl + Alt + Delete」，將 rundll32.exe 停止執行。
依序檢查以下檔案，若是有存在，請將其刪除。
C:\Program Files\rundll32.exe（60K左右）
C:\windows\system32\ct1dll.dll
C:\Program Files\iexpoloer.exe
C:\windows\iexpoloer.exe
C:\windows\system32\exploret.exe
C:\windows\system32\systemlt.dll
請在「開始」→「執行」，打入 regedit.exe，先備份原始機碼。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 若是有 rundll32.exe 後面沒有任何參數的，請刪除之。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Molecule
請刪除。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LoadXXXX（我就是殺這個，不過我忘記全名了）請刪除。
請以 exploret.exe 為關鍵字，將所有相關機碼都刪除掉。重新開機後，原則上就解毒成功了！
由於病毒檔案不一定相同,以上的是以 rundll32.exe 的,如果是其他檔案,把以上步驟有 rundll32.exe的改為那個"其他檔案"便可.