今天机器中了病毒:Trojan.PSW.Lmir.pj.enc

类别:编程语言 点击:0 评论:0 推荐:

今天打开"我的电脑"时看不到驱动器盘符了,右上角那个小地球不停的转啊转啊...反复如此 ~_~,苦啊..

这个病毒的破坏方法:窃取游戏"传奇"信息的木马病毒 (采用Delphi编写,UPX压缩)

病毒运行后有以下行为:
 
一、将自己复制到%SYSDIR%目录下,文件名为"svch0st_.exe"。

二、修改注册表:

1.HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion
\Run增加数据项:"svch0st_.exe"  数据值为:"svch0st_.exe"

2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon 修改数据项:"Shell"  修改后的数据值为:"Explorer.exe svch0st_.exe"
(正确的数据值为"Explorer.exe")

三、结束以下反病毒软件和监控软件的进程:
 
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
EGHOST
MAILMON
卸载"密码防盗专家 综合版"

四、释放文件"LSAS.bmp"和"STAK.bmp",这两个文件实际上是两个动态库文件。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。


呵呵,这个病毒倒是不厉害,但是它在的时候却很烦人.当打开"我的电脑 "时不能看见驱动器盘符,那个微软的小地球转啊转啊,要等一万年...

是地球人(当然会用计算机,而且还中了这个病毒^_^)都会很痛苦的.

我给出杀毒办法如下:

首先把名称为:svch0st_.exe 的进程全部结束.

然后到 Winnt目录(Win9x是 Windows)搜索名称为:svch0st_.exe;LSAS.bmp;STAK.bmp
把找到的这几个文件全部删除.

接着把注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon 的 "Shell"  的数据值修改为:"Explorer.exe"

搞定.再打开"我的电脑",右上角那个小地球终于不转了.

本文地址:http://com.8s8s.com/it/it28419.htm