都知道叫什么名字了就好办了。推荐一个利器:GOOGLE 手工彻底清除W32.Scard 手工彻底清除变种W32.Scard(0311.exe, tcdex.exe, dmsti.exe
alerter.exe,sptres.dll)木马的方法, 本文参考了刘纮魁的“手工彻底清除变种PWSteal.Lemir.Gen”(发表在大风网)的启发,并借用了文中的部分文字,修改成为本文。 作者注:我在进入一个下载网站时感染了W32.Scard病毒,注意,这个病毒使用诺顿AntiVirus2004发现病毒,进入诺顿官方网站,依照帮助方法,依旧无法删掉该病毒。我自己几次使用window98启动盘,启动DOS模式下,手工删掉tcdex.exe文件,但发现重启Windows2000后,删掉的tcdex.exe文件又出现了,诺顿AntiVirus2004继续报警。而0311.exe文件藏在C:\Documents and Settings\你的帐号\Local Settings\Temporary Internet Files\Content.IE5\下面的临时目录下,无法使用explorer找到并删除。诺顿会找到它,发出警告,但也无法删掉它。几经试验,发现该病毒只能手工删掉,这里是我的方法。注意请准备好Windows98启动盘。
* 说明:W32.Scard是新的窃号木马总称,寄生在不同的exe,dll文件上,其中0311.exe来自www.adahost.com(因这个文件直接指向该网站),诺顿官方网站(2004-11-12)报告说要求用户下载新的更新,可以防范W32.Scard,本人下载后,发现还是其还是无能为力。这样,我想起了以前的老办法,手工干掉它。 因为此木马会将自己注册为系统 Explorer 组件,即使删除后也会自动生成,所以一般的杀毒软件较难直接清除掉它,可以用下面的方法手工清除它(注意以下方法测试于Windows2000/XP/2003/NT,9x/me下可能有些略有不同): 一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步): 打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弹出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。 二、打开资源管理器进入到 “系统目录\Winnt”下,找到一个 MFCD3O.DLL 文件,手工删除它; 三、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,找到“ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的SHELL值为Explorer.exe dmsti.exe。将其更改为Explorer.exe。 删掉dfile=http://www.abahost.com/update/0311.exe,改为: dfile=空内容
四、在驱动器A中,插入Windows98启动盘,同时重启电脑,进入DOS模式,然后打下列命令: A:>c:
C:>cd winnt\system32
C:\winnt\system32>del tcdex.exe
C:\winnt\system32>del dmsti.exe
C:\winnt\system32>del alerter.exe
C:\winnt\system32>del sptres.dll 重新启动Windsows, 这次诺顿反病毒程序便可以清除掉藏在Content.IE下的0311.exe这个毒虫。 至此,如果一切顺利 W32.Scard 木马就应该完全从您系统中清除干净了。 取出Windows98启动盘,重启Windows,一切恢复正常。 |