电脑中了一种叫TROJAN和WIN32的病毒,怎么杀,重装系统也不行
发布网友
发布时间:2023-06-30 02:36
共4个回答
热心网友
时间:2023-09-08 19:11
热心网友
时间:2023-09-08 19:12
病毒名称: Trojan/Win32.OnLineGames.uuhu[GameThief]
病毒类型: 木马
文件 MD5: E164B4711EE7A77406A010E519ECB7E0
公开范围: 完全公开
危害等级: 3
文件长度: 15,136 字节
感染系统: Windows98以上版本
开发工具: Microsoft Visual C++ 6.0
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24
[编辑本段]病毒描述
该病毒为盗取网络游戏dnf游戏账号的木马,病毒运行后检测%System32%目录下是否存在*.dll文件,如果存在更改其文件名;复制系统文件sfc_os.dll,加载sfc_os.dll文件副本并调用其中相关函数禁用系统文件保护;移动系统文件comres.dll,尝试在系统目录和字体目录下分别衍生病毒文件comres.dll,在系统字体目录下衍生病毒文件gth60328.ttf;遍历进程列表查找巨人游戏客户端进程"dnf.exe",并将之关闭。调用comres.dll文件中的ins函数删除原始病毒文件。病毒不会对注册表进行操作,病毒通过替换系统文件comres.dll的方式来实现随机启动,被替换的comres.dll文件被加载后将截获用户信息调用gth60328.ttf文件将信息回传给病毒作者。
[编辑本段]行为分析-本地行为
1、文件运行后会释放以下文件
%System32%\ComRes.dll 11,264 字节
%Windir%\fonts\gth60328.ttf 25,088 字节
%Windir%\fonts\gth60328.fon 1,312 字节
%Windir%\fonts\ComRes.dll 11,264 字节
2、拷贝系统文件
%System32%\sfc_os.dll 拷贝到 %System32%\mmsfc1.dll
%System32%\rundll32.exe 拷贝到 %System32%\gth60328.exe
3、移动系统文件
%System32%\ComRes.dll 移动到 %System32%\sysgth.dll
4、调用mmsfc1.dll文件中的5号导出函数(SetSfcFileException)禁用系统文件保护功能。
[编辑本段]行为分析-网络行为
回传数据的参数有如下:
?do=send&game=60&inputsource=%s&%ver=328&zone=%s&server=%s&name=%s&pass=%s&passtwo=%s&role
=%s&lord=%s&level=%s&money=%u&goldcoin=%u&yb=%u&equipment=%s&bag=%s&mb=%d&mbtime=%d&hardware=%s&key=%s&store=%s
注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
%Temp% = C:\Documents and Settings\AAAAA\Local Settings\Temp 当前用户TEMP缓存变量
%Windir%\ WINDODWS所在目录
%DriveLetter%\ 逻辑驱动器根目录
%ProgramFiles%\ 系统程序默认安装目录
%HomeDrive% = C:\ 当前启动的系统的所在分区
%Documents and Settings%\ 当前用户文档根目录
[编辑本段]清除方案
1、使用安天防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用atool中的“文件管理”强制删除病毒文件
%System32%\ComRes.dll
(2) 重启系统后删除病毒文件
%Windir%\fonts\gth60328.ttf
%Windir%\fonts\gth60328.fon
%Windir%\fonts\ComRes.dll
%System32%\mmsfc1.dll
%System32%\gth60328.exe
%System32%\sysgth.dll
参考资料:http://ke.baidu.com/view/2370421.htm
热心网友
时间:2023-09-08 19:12
警惕程度:★★★★ 发作时间:随机
病毒类型:木马病毒 传播方式:网络
依赖系统: WIN9X//NT/2000/XP
感染对象:共享目录
病毒介绍:
该病毒会通过局域网的共享目录进行疯狂传播,并将共享目录变成可自启动的磁盘,用户只要查看该磁盘病毒便能运行,病毒还会将各种反病毒软件关闭,使整个局域网面对其它各种电脑病毒完全失去防范作用, 并且该病毒还会搜寻局域网中的网络打印机,并启动打印机打印乱码文件直到所有打印纸耗尽。
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒,可以按照下面所说的方法手工清除“黑木马(Trojan.Mstp)”病毒。
1. 该病毒会杀掉一些正在运行的国外的杀毒软件,如果发现有这种情况,则证明感染了病毒。
2. 该病毒桧利用自启动光盘技术,在每一个硬盘分区下建立一个名为:autorun.ini的文件,可以直接将该文件删除。
3. 该病毒会将共享目录映射成磁盘,用户可检查是否存在这样的映射磁盘,然后取消映射或取消共享。
4. 该病毒会搜寻局域网中的网络打印机,并启动打印机打印乱码文件直到所有打印纸耗尽,当新的打印纸装入打印机后,会继续打印乱码文件,如此周而复始,如果发现这种情况,则可以先将打印机断电,然后再杀毒。
用户如果发现上述情况该很有可能是中了“黑木马(Trojan.Mstp)”病毒,可以按照上述方法手工清除该病毒。
用户如果想彻底清除该病毒,也可以采用瑞星杀毒软件2003版或瑞星在线杀毒服务进行清除, 对于有局域网的企事业单位,最好采用网络版进行全网监控与全网杀毒。
热心网友
时间:2023-09-08 19:13
这两个杀毒软件算是最厉害的了!
