生活需要味道

手工徹底清除 PWSteal.Trojan, Trojan horse 木馬的方法

原創: 費爾安全實驗室
日期: 2005/05/25
聲明: 如果引用其中內容請注明來自 費爾安全實驗室

許多電腦用戶會經常遇到自己的防毒軟件報告發現 PWSteal.Trojan 或者 Trojan horse 這種病毒但卻無法清除和隔離它的情況， 或者是在清除后不久它又出現了，讓人非?？鄲?。這時該怎么辦呢？

其實 PWSteal.Trojan 和 Trojan horse 是某些防毒軟件對木馬的一種統稱，它并不代表著固定的一個，而是一類，所以即使遇到同樣名子的木馬可能它們也并不相同。 費爾托斯特安全是一款可以清除木馬和病毒的軟件，并且有很強的清除能力，如果您有它的正式版可以在升級到最新病毒庫后嘗試用它掃描清除一下，但這里需要特別提醒一點： 由于這類木馬新變種層出不窮，所以不能保證費爾托斯特安全能夠識別出目前所有的或者您遇到的。 那么除此之外難道就沒有其他辦法了嗎？有的，下面就介紹一個借助免費工具“費爾木馬強力清除助手”(此工具已經集成到費爾托斯特安全新版本中了)來清除這種頑固性 PWSteal.Trojan, Trojan horse 木馬的方法：

1. 使用這個方法前必須要先知道這個木馬的文件名是什么。防毒軟件在發現木馬后一般都會報告它的完整文件名，您需要先準確的記錄下這個文件名。比如：如果防毒軟件提示 C:\Windows\hello.dll 是 PWSteal.Trojan 或 Trojan horse，則記下 C:\Windows\hello.dll 這個名子。這里需要注意文件名一定要記準確，因為有許多木馬會把自己的文件名故意偽裝成和正常的文件名很接近，比如 svch0st.exe(木馬)->svchost.exe(正常)、Expl0rer.exe(木馬)->Explorer.exe(正常)、intrenat.exe / internet.exe(木馬)->internat.exe(正常)等等。特別是數字0幾乎和大寫字母O一樣，很容易讓人看錯，所以一定要注意區分它們，否則萬一記錯將有可能把正常的文件清除掉，那就麻煩了；
2. 暫停防毒軟件的實時監控，這一點很重要，否則在清除時可能會被阻止而無法成功。比如如果當初是你的諾頓發現了這個木馬，那么請先暫停諾頓的實時監控或實時掃描；
3. 下載費爾木馬強力清除助手 http://dl.filseclab.com/down/powerrmv.zip；
4. 釋放 PowerRmv.zip 到一個目錄，然后執行其中的 PowerRmv.exe 啟動“費爾木馬強力清除助手”。在“文件名”中輸入要清除的木馬文件名。比如如果您在第1步中記下的文件名是 C:\Windows\hello.dll，那么這時就輸入它；
5. 按“清除”。這時程序會詢問你是否要舉報此病毒到費爾安全實驗室，建議點“是”表示同意。接著程序會繼續提示是否確定要清除它，仍然選“是”；
6. 之后，如果此木馬被成功清除程序會提示成功；或者也可能提示此木馬無法被立即刪除需要重啟電腦。無論是哪種情況請點擊“確定”，這時如果您在前面同意了舉報此木馬那么程序會自動創建并打開一個“病毒舉報”的電子郵件，其中會包含這個木馬的樣本文件，如果您看到了這個郵件請把它直接發送給 virus@filseclab.com 。如果您并沒有看到這封郵件也沒有關系，可以忽略。
7. 最后，如果程序前面提示了重啟電腦后才能清除那么請一定重啟您的電腦，在電腦重啟后這個木馬應該就被清除掉了。

重要提示： 如果您按上面的方法操作之后，發現不久這個木馬又出現了，并且還是同樣的文件名，那么您可以用上面的方法再重復執行一次，不過這次操作時請選中程序中的“抑制文件再次生成”選項， 這樣清除后一般木馬就很難再復活了。這個功能是最新版“費爾木馬強力清除助手”中提供的，如果您的沒有這個選項，請從上面的地址中重新下載一次。