現(xiàn)在木馬
如何清除征途木馬
。特別是針對某款網(wǎng)游的 木馬,如果不加以控制,將給這款網(wǎng)游帶來毀滅性災(zāi)難。最近針對《征途》征途木馬檔案
Svhost32.exe征途木馬可以盜取《征途》的密碼、其他游戲密碼、IM工具密碼等等。感染病毒之后,會生成Svhost32.exe、Rundl132.exe進(jìn)程、msccrt.exe進(jìn)程等,這些迷惑性進(jìn)程并不是木馬的核心,真正的主謀其實(shí)躲藏在陰暗處。該木馬的殺手锏應(yīng)該是插入到Explorer.exe進(jìn)程的DLL文件。
Svhost32進(jìn)程“出賣”征途木馬
今天安全診所迎來了一個就診者。從他咬牙切齒地?cái)⑹鲋,裘醫(yī)生了解到小王對該病毒深惡痛絕。這也不奇怪,病毒盜取了他的征途游戲的密碼,讓他損失不小。
的一般是木馬病毒,那么到底是哪種木馬呢?從小王描述的病毒發(fā)作特征中,裘醫(yī)生發(fā)現(xiàn)病毒修改了IE的默認(rèn)主頁為http://u4.sky99.cn/。
該木馬占用了大量
另外獲取用戶的密碼信息的方式也極其危險(xiǎn),極易導(dǎo)致
去除木馬病毒的偽裝
由于Svhost32.exe征途木馬有一些沒有破壞性的偽裝文件,裘醫(yī)生決定先去除這些垃圾文件。
打開了IceSword,裘醫(yī)生很快便在其進(jìn)程選項(xiàng)中發(fā)現(xiàn)了Svhost32.exe進(jìn)程的文件是“C:\Windows\Download\Svhost32.exe”。
右鍵單擊該進(jìn)程選擇“結(jié)束進(jìn)程”命令即可,接著進(jìn)入該目錄刪除該文件,
電腦資料
《如何清除征途木馬》(http://www.ishadingyu.com)。同樣的,Rundl132.exe進(jìn)程的文件是C:\windows\rundl132.exe,結(jié)束進(jìn)程后也刪除該文件。 同樣的,發(fā)現(xiàn)msccrt.exe進(jìn)程的文件是C:\windows\msccrt.exe,結(jié)束進(jìn)程后也刪除該文件。由于這些進(jìn)程都能自啟動,打開System Repair Engineer來清除自啟動
清空load值來防止病毒自啟動。接著刪除值為“C:\windows\Download\svhost32.exe”的啟動項(xiàng)目xy和值為“C:\DOCUME~1\ADMI NI~1\LOCALS~1\Te mp\upxdn.exe”的啟動項(xiàng)目upxdn。
由于病毒試圖竄改UserInit項(xiàng)目來達(dá)到運(yùn)行自己的目的,不過這次并未進(jìn)行實(shí)質(zhì)性修改,只是破壞了原來的值,因此把UserInit項(xiàng)目重新修改為正常的“C:\windows\system32\Userinit.exe”(不包括引號)即可。
幕后主謀現(xiàn)身
裘醫(yī)生清除完這些病毒文件,下面就是讓插入Explorer.exe進(jìn)程的病毒文件現(xiàn)身了。打開了《超級巡警》,選擇“進(jìn)程管理”選項(xiàng),根據(jù)病毒發(fā)作時間很快便發(fā)現(xiàn)了位于“C:\Program Files\Common Files\Microsoft Sha red\MSINFO”的可疑文件xiaran.dat;位于“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp”的可疑文件upxdn.dll和位于“C:\Windows\system32”的可疑文件msccrt.dll。這些文件不但以黃色警告色顯示,而且文件屬性顯示創(chuàng)建時間都是病毒發(fā)作期(圖4)。
主謀就地正法
狡猾的主謀已經(jīng)被發(fā)現(xiàn)了,下面就開始清除這些文件吧。裘醫(yī)生選中這些文件,右鍵單擊選擇“強(qiáng)制卸載標(biāo)記模塊”命令,這樣這些文件就不能得到Explorer.exe進(jìn)程的庇護(hù)了。
接著就可以進(jìn)入這些文件的目錄逐個刪除了。完成之后,重新啟動計(jì)算機(jī),未發(fā)現(xiàn)病毒進(jìn)程,系統(tǒng)運(yùn)行也穩(wěn)定了。這說明病毒已經(jīng)被成功清除了。
Svhost32.exe征途木馬,一般通過瀏覽惡意網(wǎng)站來傳播。因此,我們安裝殺毒軟件開啟網(wǎng)頁和文件實(shí)時防護(hù)功能,可以比較好地防范這類木馬。開啟下載軟件(如:迅雷、快車)的文件病毒監(jiān)控也是必要的。