一、請先去把系統設定為「顯示隱藏檔案」,因為病毒以隱藏內容偽裝,不做此設定將無法看到它,設定的方法如下(如果系統已經做了此設定可以跳過這一步):
開啟「我的電腦」;
依次開啟菜單「工具/資料夾選項」;
然後在彈出的「資料夾選項」對話框中切換到「檢視」頁;
解除「隱藏受保護的作業系統檔案(推薦)」前面的對鉤,讓它變為不選狀態;
在下方的「進階設定」清單框中改變「不顯示隱藏的檔案和資料夾」選項為「顯示所有檔案和資料夾」選項;
解除「隱藏已知檔案類型的副檔名」前面的對鉤,也讓它變為不選狀態;
最後點選「確定」。
二、按「Ctrl+Alt+Del」鍵彈出排定的工作,找到EXPL0RER.EXE行程(注意第5個字母是數位0不是字母O),找到它後選擇它並點選「結束行程」以結束掉木馬行程。然後迅速做下方一步,只所以要迅速是因為如果動作慢的話,木馬可能會自動還原而再次執行起來,這樣就無法刪除掉其他木馬檔案了(如果EXPL0RER.EXE行程再次執行起來需要重做這一步);
三、開啟資源管理員進入到 「系統目錄\Winnt\System32」下(如果您的win2000/nt/xp安裝在C盤則就是 C:\Winnt\System32)。找到EXPL0RER.EXE檔案(注意第5個字母是數位0不是字母O)、SysModule32.dll檔案,然後直接刪除它們。如果這時報告「檔案正在執行無法刪除」的類似提示則說明木馬已經再次還原了,需要從第二步開始重複做,並且從第二步到第三步一定要迅速,這裡建議可以先開啟資源管理員選擇這幾個待刪除的檔案,在做第二步即剛結束掉EXPL0RER.EXE行程後馬上轉過來刪除這2個檔案,這樣一般就可以成功了;
四、同樣在 「系統目錄\Winnt\System32」目錄下找到 SysModule64.dll 檔案,嘗試刪除它,不過如果這時報告「此檔案正在執行中無法刪除」等類似提示也沒有關係,稍後在第七步將介紹如何刪除此檔案;
五、開啟資源管理員進入到 「系統目錄\Winnt」下,找到一個 MFCD3O.DLL 檔案,手工刪除它;
六、開啟「開始/執行」,輸入「regedit」後「確定」以開啟註冊表編輯器,找到「HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵,把整個「{081FE200-A103-11D7-A46D-C770E4459F2F}」鍵全部刪除。
七、登出目前使用者或重新登入或重新啟動電腦。之後再按第四步的方法刪除掉 SysModule64.dll 檔案,如果一切正常此時應該可以刪除掉它了。
至此,如果一切順利 PWSteal.Lemir.Gen 木馬就應該完全從您系統中清除乾淨了。
