今天机器中了病毒:Trojan.PSW.Lmir.pj.enc
2004-08-25 11:27
627 查看
今天打开"我的电脑"时看不到驱动器盘符了,右上角那个小地球不停的转啊转啊...反复如此 ~_~,苦啊..
这个病毒的破坏方法:窃取游戏"传奇"信息的木马病毒 (采用Delphi编写,UPX压缩)
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"svch0st_.exe"。
二、修改注册表:
1.HKEY_CURRENT_USER/SoftWare/Microsoft/Windows/CurrentVersion
/Run增加数据项:"svch0st_.exe" 数据值为:"svch0st_.exe"
2.HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT
/CurrentVersion/Winlogon 修改数据项:"Shell" 修改后的数据值为:"Explorer.exe svch0st_.exe"
(正确的数据值为"Explorer.exe")
三、结束以下反病毒软件和监控软件的进程:
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
EGHOST
MAILMON
卸载"密码防盗专家 综合版"
四、释放文件"LSAS.bmp"和"STAK.bmp",这两个文件实际上是两个动态库文件。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。
呵呵,这个病毒倒是不厉害,但是它在的时候却很烦人.当打开"我的电脑 "时不能看见驱动器盘符,那个微软的小地球转啊转啊,要等一万年...
是地球人(当然会用计算机,而且还中了这个病毒^_^)都会很痛苦的.
我给出杀毒办法如下:
首先把名称为:svch0st_.exe 的进程全部结束.
然后到 Winnt目录(Win9x是 Windows)搜索名称为:svch0st_.exe;LSAS.bmp;STAK.bmp
把找到的这几个文件全部删除.
接着把注册表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT
/CurrentVersion/Winlogon 的 "Shell" 的数据值修改为:"Explorer.exe"
搞定.再打开"我的电脑",右上角那个小地球终于不转了.
这个病毒的破坏方法:窃取游戏"传奇"信息的木马病毒 (采用Delphi编写,UPX压缩)
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"svch0st_.exe"。
二、修改注册表:
1.HKEY_CURRENT_USER/SoftWare/Microsoft/Windows/CurrentVersion
/Run增加数据项:"svch0st_.exe" 数据值为:"svch0st_.exe"
2.HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT
/CurrentVersion/Winlogon 修改数据项:"Shell" 修改后的数据值为:"Explorer.exe svch0st_.exe"
(正确的数据值为"Explorer.exe")
三、结束以下反病毒软件和监控软件的进程:
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
EGHOST
MAILMON
卸载"密码防盗专家 综合版"
四、释放文件"LSAS.bmp"和"STAK.bmp",这两个文件实际上是两个动态库文件。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。
呵呵,这个病毒倒是不厉害,但是它在的时候却很烦人.当打开"我的电脑 "时不能看见驱动器盘符,那个微软的小地球转啊转啊,要等一万年...
是地球人(当然会用计算机,而且还中了这个病毒^_^)都会很痛苦的.
我给出杀毒办法如下:
首先把名称为:svch0st_.exe 的进程全部结束.
然后到 Winnt目录(Win9x是 Windows)搜索名称为:svch0st_.exe;LSAS.bmp;STAK.bmp
把找到的这几个文件全部删除.
接着把注册表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT
/CurrentVersion/Winlogon 的 "Shell" 的数据值修改为:"Explorer.exe"
搞定.再打开"我的电脑",右上角那个小地球终于不转了.
相关文章推荐
- 今天机器中了病毒:Trojan.PSW.Lmir.pj.enc
- 关于pagefile.pif(Trojan.PSW.Lmir.iux)病毒的解决
- 遭遇Trojan.PSW.Lmir等病毒(第4版)
- Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll,qq.dll 病毒分析&清除
- 再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)
- 遭遇Trojan.PSW.Lmir.kyo、Trojan.DL.QQHelper等N多木马
- 遭遇Trojan.PSW.Lmir.lkh、Trojan.PSW.WoWar.qd、Trojan.Agent.kh0等
- 遭遇RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等
- 遭遇木马Trojan.PSW.ZhengTu.dm、Trojan.PSW.LMir.atb
- 今天看 一下 女人必看 病毒
- 机器遇到病毒了
- Trojan-Downloader.HTML.IFrame.dm 卡巴报病毒清除办法
- 手工查杀Win32/Pacex.Gen,Win32/Genetik,Win32/PSW.Agent.NCC,Win32/PSW.QQPass.VD病毒
- 今天开始学Java 现在现在有一台机器,这台机器可以接收两种形式任务:
- 今天可能中了病毒——WinUDP
- 今天真郁闷——该死的病毒!!
- 今天中病毒了...
- 今天机器上架, 真辛苦
- 解决病毒Trojan.DL.Small.azt、Trojan.DL.QQHelper.dsb、Dropper.Agent.bba等
- 今天遇到了一个可怕的病毒,邪门