現(xiàn)在木馬病毒的傳播方式越來越來隱蔽，讓不少用戶防不勝防，

如何清除征途木馬

。特別是針對某款網(wǎng)游的 木馬，如果不加以控制，將給這款網(wǎng)游帶來毀滅性災(zāi)難。最近針對《征途》游戲出了一款木馬，它的隱藏方式相當(dāng)狡詐，非常難以發(fā)現(xiàn)。不過，對于這類劣跡斑斑的病毒，安全診所的裘文鋒醫(yī)生早已見怪不怪了。下面就幫史玉柱揪出這款針對《征途》游戲的木馬。

    征途木馬檔案

    Svhost32.exe征途木馬可以盜取《征途》的密碼、其他游戲密碼、IM工具密碼等等。感染病毒之后，會生成Svhost32.exe、Rundl132.exe進(jìn)程、msccrt.exe進(jìn)程等，這些迷惑性進(jìn)程并不是木馬的核心，真正的主謀其實(shí)躲藏在陰暗處。該木馬的殺手锏應(yīng)該是插入到Explorer.exe進(jìn)程的DLL文件。

    Svhost32進(jìn)程“出賣”征途木馬

    今天安全診所迎來了一個就診者。從他咬牙切齒地?cái)⑹鲋�，裘醫(yī)生了解到小王對該病毒深惡痛絕。這也不奇怪，病毒盜取了他的征途游戲的密碼，讓他損失不小。

    的一般是木馬病毒，那么到底是哪種木馬呢？從小王描述的病毒發(fā)作特征中，裘醫(yī)生發(fā)現(xiàn)病毒修改了IE的默認(rèn)主頁為http://u4.sky99.cn/。

    該木馬占用了大量系統(tǒng)資源，使系統(tǒng)穩(wěn)定性大大下降。在任務(wù)管理器的進(jìn)程窗口出現(xiàn)了Svhost32.exe進(jìn)程，疑似病毒進(jìn)程，關(guān)閉之后重啟系統(tǒng)，仍然會出現(xiàn)。木馬占用了網(wǎng)絡(luò)帶寬向 發(fā)送密碼信息，而且把自己的線程插入了系統(tǒng)關(guān)鍵進(jìn)程。

    另外獲取用戶的密碼信息的方式也極其危險(xiǎn)，極易導(dǎo)致系統(tǒng)崩潰。病毒還關(guān)閉了瑞星殺毒監(jiān)控。通過小王的敘述，裘醫(yī)生發(fā)現(xiàn)這個系統(tǒng)的情況和中Svhost32.exe征途木馬后的情況對上了號，因此，當(dāng)即就開始診治起來。

    去除木馬病毒的偽裝

    由于Svhost32.exe征途木馬有一些沒有破壞性的偽裝文件，裘醫(yī)生決定先去除這些垃圾文件。

    打開了IceSword，裘醫(yī)生很快便在其進(jìn)程選項(xiàng)中發(fā)現(xiàn)了Svhost32.exe進(jìn)程的文件是“C:\Windows\Download\Svhost32.exe”。

    右鍵單擊該進(jìn)程選擇“結(jié)束進(jìn)程”命令即可，接著進(jìn)入該目錄刪除該文件，

電腦資料

《如何清除征途木馬》(http://www.ishadingyu.com)。同樣的，Rundl132.exe進(jìn)程的文件是C:\windows\rundl132.exe，結(jié)束進(jìn)程后也刪除該文件。

    同樣的，發(fā)現(xiàn)msccrt.exe進(jìn)程的文件是C:\windows\msccrt.exe，結(jié)束進(jìn)程后也刪除該文件。由于這些進(jìn)程都能自啟動，打開System Repair Engineer來清除自啟動項(xiàng)目。打開程序后，選中“啟動項(xiàng)目”時彈出了兩次警告信息框，默認(rèn)為空的注冊表值load被修改成了“C:\windows\rundl132.exe”用以啟動加載rundl132.exe這個病毒進(jìn)程。

    清空load值來防止病毒自啟動。接著刪除值為“C:\windows\Download\svhost32.exe”的啟動項(xiàng)目xy和值為“C:\DOCUME~1\ADMI NI~1\LOCALS~1\Te mp\upxdn.exe”的啟動項(xiàng)目upxdn。

    由于病毒試圖竄改UserInit項(xiàng)目來達(dá)到運(yùn)行自己的目的，不過這次并未進(jìn)行實(shí)質(zhì)性修改，只是破壞了原來的值，因此把UserInit項(xiàng)目重新修改為正常的“C:\windows\system32\Userinit.exe”（不包括引號）即可。

    幕后主謀現(xiàn)身

    裘醫(yī)生清除完這些病毒文件，下面就是讓插入Explorer.exe進(jìn)程的病毒文件現(xiàn)身了。打開了《超級巡警》，選擇“進(jìn)程管理”選項(xiàng)，根據(jù)病毒發(fā)作時間很快便發(fā)現(xiàn)了位于“C:\Program Files\Common Files\Microsoft Sha red\MSINFO”的可疑文件xiaran.dat；位于“C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp”的可疑文件upxdn.dll和位于“C:\Windows\system32”的可疑文件msccrt.dll。這些文件不但以黃色警告色顯示，而且文件屬性顯示創(chuàng)建時間都是病毒發(fā)作期（圖4）。

    主謀就地正法

    狡猾的主謀已經(jīng)被發(fā)現(xiàn)了，下面就開始清除這些文件吧。裘醫(yī)生選中這些文件，右鍵單擊選擇“強(qiáng)制卸載標(biāo)記模塊”命令，這樣這些文件就不能得到Explorer.exe進(jìn)程的庇護(hù)了。

    接著就可以進(jìn)入這些文件的目錄逐個刪除了。完成之后，重新啟動計(jì)算機(jī)，未發(fā)現(xiàn)病毒進(jìn)程，系統(tǒng)運(yùn)行也穩(wěn)定了。這說明病毒已經(jīng)被成功清除了。

    Svhost32.exe征途木馬，一般通過瀏覽惡意網(wǎng)站來傳播。因此，我們安裝殺毒軟件開啟網(wǎng)頁和文件實(shí)時防護(hù)功能，可以比較好地防范這類木馬。開啟下載軟件（如：迅雷、快車）的文件病毒監(jiān)控也是必要的。