木马病毒 - 免费文档下载

相关文档

最热搜索

乙方 Ken 服务心得电气孔雀成千上万增订有说 Wizard 东胜控制制度战略人力资源管理工业部节能产品造像习心得升值陈清杰挂上可打开 Szary UploadFile 於四名贵入党范文高深閺堝寮告禒开关报告从严批发管理系统於外出於背面多发拆开旅行社管理系统论文辘轳定为显示屏织物免费下载信才队伍建设是社区卫生服务发展的核心竞争力冯特 acro 万大江护家顺序效应工作单位程设计概要下载搜索doccom 包扎单根征询函工作总结也计划会计核算制度黎延玮光光市场部员工工作总结 Stud 承认路漫漫详细切剖面行为准则年啤酒市场调查研究报告酒店员工宿舍管理制度 Torque 党员发展此案加拿大人及光缆自动化职业生涯规u 若有所思工程机械机电一体u 文献检索陕西科技大学调剂申请表電遊島物語攻略宿根植物及评议行业分析服务运营管理联席会议万福网格模拟集成电路前端设计实战提高班后汉书 DKL 出国鉴定回购别样委托合同htm -CDMA protocol 定名 BEP 李登辉得知独木舟 hrung 分娩 jest 五岭

木马病毒

文件类型：PDF/Adobe Acrobat 文件大小：2901字节

内容摘要：

一种木马病毒的清除方法
宋臣国
木马病毒在互联网上发展比较迅速,并且发作之后对计算机的危害较为严重.近日于
图书馆内发现一种木马病毒,是流传较广的"灰鸽子"木马最新的变种,查杀困难,很多以
前系统的保护工具无法使用,在Windows系统下注册表删除启动项及安全模式下删除其病
毒文件也不起作用.
问题没有解决,心有不甘,经过多日搜索,发现很多用户也被此病毒困扰,感染的电
脑表现特征如下:
病毒为windows平台下的集于下载其它病毒,修改主页和后台访问指定网站的复合型
病毒,病毒运行后复制自身为多个伪系统正常程序,并将自身安装成伪系统正常服务,以
使用户更难以发觉.同时病毒未经用户允许强制修改用户IE主页;网络可用时病毒尝试访
问特定的网站,并通过网络进行病毒的自我更新操作.造成用户机器不稳定.此病毒主要
通过捆绑软件和欺骗方式进行传播.
感染特征:
1."http//vod.mmdy.org ""http://vod.70jh.com""http://www.71791.com"恶意网站劫持
浏览器,默认主页被锁定为上述恶意网站.
2.winxp或win98系统下,在"开始—运行"中使用msconfig命令,查看到系统默认启
动服务中加载了莫名奇妙的服务,是乱码,在注册表的hklm--software--microsoft—windows
—currentversion--run键值中有c:\windows\systems.exe为键值的病毒文件加载项.且禁用注册
表.
3.其他现象:超级兔子,雅虎助手可以暂时更改被修改的默认项,安全模式下可以删除
注册表项及病毒文件.但系统重新启动之后微软IE浏览器默认主页又被上述恶意网址锁定,
同时注册表自启动项被病毒重新加载,同时c:\windos\systems.exe 病毒文件重新加载.
一,systems.exe包括netstart.exe感染系统后的表现:
(一),样本运行后释放下列文件:
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
C:\WINDOWS\system32\winpub.reg
(二),netstart.exe更改的注册表项:
1,添加系统服务:
HKLM\System\CurrentControlSet\Services
Remss_Ser(指向c:\windows\system32\netstart.exe)
2,通过C:\WINDOWS\system32\winpub.reg修改注册表下列项目:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="http://vod.mmdy.org/"
"Start Page"="http://vod.mmdy.org/"
"Search Page"="http://vod.mmdy.org/"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000001
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]
"HomePage"=dword:00000001
"Settings"=dword:00000001
"Links"=dword:00000001
"SecAddSites"=dword:00000001
(三),感染后用HijackThis v1.99.1电脑分析软件生成的日志:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown owner -
C:\windows\system32\netstart.exe
幸运的是,在互联网上查到的病毒解决方案如下:
手工查杀流程:
(一),显示隐藏文件.找到下列文件并将其后缀改为.txt:
C:\WINDOWS\systems.exe
C:\WINDOWS\system32\netstart.exe
C:\WINDOWS\system32\regshell.exe
(二),重启系统.删除下列文件
C:\WINDOWS\systems.txt
C:\WINDOWS\system32\netstart.txt
C:\WINDOWS\system32\regshell.txt
C:\WINDOWS\system32\winpub.reg
(三),用HijackThis v1.99.1修复系统启动项:
O4 - 启动项HKLM\\Run: [webService] systems.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(四),O23 - NT 服务: Remote Managements Instrumenta (Remss_Ser) - Unknown
owner - C:\windows\system32\netstart.exe
HijackThis不能修复这项.
自己打开注册表编辑器删除吧.
(责任编辑:刘美丽)
·上一篇：一招克死所有病毒
·下一篇：计算机病毒分类

点此下载