最新主題最新主題  行事曆行事曆  搜尋論壇搜尋  幫助幫助
自訂搜尋
  註冊註冊  登入登入
資訊安全、病毒防護
 心靈的交叉點 : 侑昌資訊/隆達資訊 : 資訊安全、病毒防護
>
主題: [病毒] Infostealer.Lineage 回覆主題 發表新主題
作者 訊息
leader
管理階層
管理階層
頭像

註冊: 2006/十一月/15
發表: 338
引用 leader 回覆bullet 主題: [病毒] Infostealer.Lineage
    發表於︰ 2007/三月/19 在 4:58pm
作業系統: windows xp pro sp2
防毒軟體: Symantec Antivirus Corporation Edition 9.0 Client
中毒狀況: 開機登入後,會跳出掃瞄到病毒的警示,病毒名稱為 Infostealer.Lineage,感染的檔案為 C:\WINDOWS\system32\RegistryInfo2.dll。
代碼:
掃描類型:  自動防護 掃描
事件:  發現威脅!
威脅:Infostealer.Lineage
檔案:  C:\WINDOWS\system32\RegistryInfo2.dll
位置:  C:\WINDOWS\system32
電腦:  ED004
使用者:  petty
採取行動:  清除 失敗 : 隔離 失敗 : 刪除 成功 : 拒絕存取
發現日期: 2006年11月29日  下午 03:43:38

雖然可以成功刪除,但每次開機均會有這種情況,並不能完全解決這種狀況。

解決方法:
原來這種病毒按照網路上很多的正規解法並不能根除,因為不知道真正受感染的檔案為哪一個。另外用熊貓線上掃毒也找不到 (因為 SAVC 已經殺掉了),最後是找到了這個解決方法。

參考 URL:
誰有辦法解毒-TSPY LINEAGE.AFF

1. 開機按 F8 進入安全模式。 (我有事先關掉系統還原,但不知是否為必要)

2. 執行 regedit 進入登錄檔編輯器
代碼:
HKEY_CURRENT_USER>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
如果有Kerne0223 = "%System%\Kerne0223.exe"登錄值,刪除


3. 到資料夾 C:\Windows\System32 找到 Kerne0223.exe 手動刪除。 (將 Kerne0223.dll 改成 .bak)

4. 再次執行 regedit進入登錄檔編輯器
代碼:
HKEY_CLASSES_ROOT>CLSID>{3EA18648-FAF6-490D-9C92-8FD729028A58}>Inp­rocServer32
刪除 @ = "%System%\RegistryInfo2.dll"

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Explorer>Shell­ExecuteHooks
刪除 {3EA18648-FAF6-490D-9C92-8FD729028A58}


5. 重新開機
IP IP已記錄
回覆主題 發表新主題
列印預覽 列印預覽

論壇跳轉
不可以 在本版發表新主題
不可以 在本版回覆主題
不可以 在本版刪除您的發言
不可以 在本版編輯您的發言
不可以 在本版建立投票
不可以 在本版投票



頁面執行時間為 0.172 秒。
  
Page Rank Check
 服務地址:台中市北區梅川西路三段39巷18號五樓之十 服務電話:886-4-22927366
 電子郵件:yoursun@yoursun.com.tw 版權所有 © 2006 侑昌資訊股份有限公司