今天打开"我的电脑"时看不到驱动器盘符了,右上角那个小地球不停的转啊转啊...反复如此 ~_~,苦啊..
这个病毒的破坏方法:窃取游戏"传奇"信息的木马病毒 (采用Delphi编写,UPX压缩)
病毒运行后有以下行为:
一、将自己复制到%SYSDIR%目录下,文件名为"svch0st_.exe"。
二、修改注册表:
1.HKEY_CURRENT_USER\SoftWare\Microsoft\Windows\CurrentVersion
\Run增加数据项:"svch0st_.exe" 数据值为:"svch0st_.exe"
2.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon 修改数据项:"Shell" 修改后的数据值为:"Explorer.exe svch0st_.exe"
(正确的数据值为"Explorer.exe")
三、结束以下反病毒软件和监控软件的进程:
Symantec AntiVirus 企业版
江民杀毒软件 KV2004:实时监视
瑞星杀毒软件
天网防火墙个人版
天网防火墙企业版
木马克星
EGHOST
MAILMON
卸载"密码防盗专家 综合版"
四、释放文件"LSAS.bmp"和"STAK.bmp",这两个文件实际上是两个动态库文件。"STAK.bmp"提供了拦截"OpenProcess"API的接口,导致其他进程无法打开"svch0st_.exe"的进程,因此也无法结束"svch0st_.exe"的进程。"LSAS.bmp"用于挂接鼠标和键盘钩子,以窃取游戏"传奇"信息。
呵呵,这个病毒倒是不厉害,但是它在的时候却很烦人.当打开"我的电脑 "时不能看见驱动器盘符,那个微软的小地球转啊转啊,要等一万年...
是地球人(当然会用计算机,而且还中了这个病毒^_^)都会很痛苦的.
我给出杀毒办法如下:
首先把名称为:svch0st_.exe的进程全部结束.
然后到 Winnt目录(Win9x是 Windows)搜索名称为:svch0st_.exe;LSAS.bmp;STAK.bmp
把找到的这几个文件全部删除.
接着把注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT
\CurrentVersion\Winlogon的 "Shell" 的数据值修改为:"Explorer.exe"
搞定.再打开"我的电脑",右上角那个小地球终于不转了.