科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道如何清除征途木马?

如何清除征途木马?

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

对于这类劣迹斑斑的病毒,安全诊所的裘文锋医生早已见怪不怪了。下面就帮史玉柱揪出这款针对《征途》游戏的木马。

作者:电脑知识网 来源:电脑知识网 2008年5月11日

关键字: 特洛伊木马专杀

  • 评论
  • 分享微博
  • 分享邮件

  现在木马病毒的传播方式越来越来隐蔽,让不少用户防不胜防。特别是针对某款网游的盗号木马,如果不加以控制,将给这款网游带来毁灭性灾难。最近针对《征途》游戏出了一款木马,它的隐藏方式相当狡诈,非常难以发现。不过,对于这类劣迹斑斑的病毒,安全诊所的裘文锋医生早已见怪不怪了。下面就帮史玉柱揪出这款针对《征途》游戏的木马。

  征途木马档案

  Svhost32.exe征途木马可以盗取《征途》的密码、其他游戏密码、IM工具密码等等。感染病毒之后,会生成Svhost32.exe、Rundl132.exe进程、msccrt.exe进程等,这些迷惑性进程并不是木马的核心,真正的主谋其实躲藏在阴暗处。该木马的杀手锏应该是插入到Explorer.exe进程的DLL文件。

  Svhost32进程“出卖”征途木马

  今天安全诊所迎来了一个就诊者。从他咬牙切齿地叙述中,裘医生了解到小王对该病毒深恶痛绝。这也不奇怪,病毒盗取了他的征途游戏的密码,让他损失不小。

  盗取密码的一般是木马病毒,那么到底是哪种木马呢?从小王描述的病毒发作特征中,裘医生发现病毒修改了IE的默认主页为http://u4.sky99.cn/。

  该木马占用了大量系统资源,使系统稳定性大大下降。在任务管理器的进程窗口出现了Svhost32.exe进程,疑似病毒进程,关闭之后重启系统,仍然会出现。木马占用了网络带宽向黑客发送密码信息,而且把自己的线程插入了系统关键进程。

  另外获取用户的密码信息的方式也极其危险,极易导致系统崩溃。病毒还关闭了瑞星杀毒监控。通过小王的叙述,裘医生发现这个系统的情况和中Svhost32.exe征途木马后的情况对上了号,因此,当即就开始诊治起来。去除木马病毒的伪装

  由于Svhost32.exe征途木马有一些没有破坏性的伪装文件,裘医生决定先去除这些垃圾文件。

  打开了IceSword,裘医生很快便在其进程选项中发现了Svhost32.exe进程的文件是“C:WindowsDownloadSvhost32.exe”。

  右键单击该进程选择“结束进程”命令即可,接着进入该目录删除该文件。同样的,Rundl132.exe进程的文件是C:windows undl132.exe,结束进程后也删除该文件。

  同样的,发现msccrt.exe进程的文件是C:windowsmsccrt.exe,结束进程后也删除该文件。由于这些进程都能自启动,打开System Repair Engineer来清除自启动项目。打开程序后,选中“启动项目”时弹出了两次警告信息框,默认为空的注册表值load被修改成了“C:windows undl132.exe”用以启动加载rundl132.exe这个病毒进程。

  清空load值来防止病毒自启动。接着删除值为“C:windowsDownloadsvhost32.exe”的启动项目xy和值为“C:DOCUME~1ADMI NI~1LOCALS~1Te mpupxdn.exe”的启动项目upxdn。

  由于病毒试图窜改UserInit项目来达到运行自己的目的,不过这次并未进行实质性修改,只是破坏了原来的值,因此把UserInit项目重新修改为正常的“C:windowssystem32Userinit.exe”(不包括引号)即可。幕后主谋现身

  裘医生清除完这些病毒文件,下面就是让插入Explorer.exe进程的病毒文件现身了。打开了《超级巡警》,选择“进程管理”选项,根据病毒发作时间很快便发现了位于“C:Program FilesCommon FilesMicrosoft Sha redMSINFO”的可疑文件xiaran.dat;位于“C:DOCUME~1ADMINI~1LOCALS~1Temp”的可疑文件upxdn.dll和位于“C:Windowssystem32”的可疑文件msccrt.dll。这些文件不但以黄色警告色显示,而且文件属性显示创建时间都是病毒发作期(图4)。

  主谋就地正法

  狡猾的主谋已经被发现了,下面就开始清除这些文件吧。裘医生选中这些文件,右键单击选择“强制卸载标记模块”命令,这样这些文件就不能得到Explorer.exe进程的庇护了。

  接着就可以进入这些文件的目录逐个删除了。完成之后,重新启动计算机,未发现病毒进程,系统运行也稳定了。这说明病毒已经被成功清除了。

  Svhost32.exe征途木马,一般通过浏览恶意网站来传播。因此,我们安装杀毒软件开启网页和文件实时防护功能,可以比较好地防范这类木马。开启下载软件(如:迅雷、快车)的文件病毒监控也是必要的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章