病毒名称:Win32.Troj.DownLoaderT.dl.69632
中文名称:武装下载器69632
病毒类型:木马下载器
威胁目的:秘密下载大量病毒
中毒导致时间被改、服务被禁
几天前,我电脑开机后运行速度突然变得很慢,直觉告诉我可能是中毒了,马上点击右下角的杀毒软件图标,可它居然自动退出了!我的安全软件防护能力有限,离开了杀毒软件我就没有办法了。
在电脑里面胡乱查看,发现了两个可疑之处:系统的时间爱你变成了2005年;我特意开启的Error Reporting Service服务(错误报告服务)被禁止了,难怪系统有了异常一点提示都没有。请教:我是中了什么毒,我要用什么方法才能彻底把这个病毒清除干净?
逆转时光 废掉杀毒软件
最近看《史前一万年》大受启发,我——武装下载器69632,利用这颗天才脑袋想到了采用时光倒流的方式让杀毒软件失效的妙招!召集“关该建下”四大威猛的兄弟伙(关是指关闭杀毒软件,改是指修改注册表,建是指创建C:\Autorun.inf文件,下是指下载木马地址列表),将自己改造成五毒俱全的病毒。下面就看看我是如何和这几大兄弟拉帮结派如前电脑系统的!
首先我进入系统后,会注入到桌面进程Explorer.exe和登录管理器进程Winlogon.exe中,然后马上开始窜改注册表,关闭系统错误报告服务,这样无论我接下来做任何小动作,系统都无法向电脑用户报告。此外,我还会将病毒文件属性设置成隐藏,免得让用户发现。
小知识:Explorer.exe进程默认是和系统一起启动的,其对应的可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
为了让所有依赖系统时间进行激活和升级的杀毒软件失效,我使用了“时间倒流”的手段把系统时间修改为2005年。不但如此,我还会在系统盘根目录下生成病毒文件Auto.exe和Autorun.inf,如果用户在中毒电脑上使用闪存盘等移动存储设备时就会被传染,这样就扩大了传播范围。
光这些还不够,我还要新建服务达到随计算机启动而自动运行的目的,悄悄地从https://al*a.ve**nx.cn/update.txt下载木马地址列表,这个列表中包含了众多木马程序的下载地址信息,我利用这些信息下载更多的木马到用户的电脑中,窃取电脑用户有价值的资料和信息。
修改注册表 “消火去毒”
武装下载器69632,你也不怕风大闪了舌头。不要在这里吓唬我们了,看我如何收拾你。
第一步:重启电脑并进入安全模式,不要运行系统分区外的任何软件。打开“我的电脑”,选择“工具-文件夹选项”,选择“查看”,取消“隐藏受保护的操作系统文件”前的勾,并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”,然后点击“确定”。
第二步:点击“资源管理器”工具栏上的“文件夹”按钮,在左侧单击需要进入的分区,将分区下的Auto.exe和Autorun.inf文件删除,其他分区也一样。接着进入注册表,将HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Services\dd33gsd2项删除,再将系统根目录C:\WINDOWS\system32文件夹下的dd33gsd2.exe可执行文件删除。
第三步:修改日期为当前时间,然后升级当前计算机中杀毒软件到最新病毒库,再用《360安全卫士》配合杀毒软件来清除系统中剩余下来的病毒即可。
小知识:电脑用户要常备一些安全小工具,以便在木马对系统进行了大规模破坏后,又不愿意重装系统时使用,比如在进行手工删除时如果提示“此文件正在使用无法删除”,可使用Unlocker软件删除文件;在安全模式无法进入时,使用SREng软件进行修复;结束一些陌生进程可使用Procexp软件。
本站推荐使用NOD32杀毒软件:NOD32 V3.0中文破解版下载
声明:欢迎各大网站转载本站文章,还请保留一条能直接指向本站的超级链接,谢谢!
时间:2008-05-18 21:56:56,点击:65824
【声明】:以上文章或资料除注明为Office自创或编辑整理外,均为各方收集或网友推荐所得。其中摘录的内容以共享、研究为目的,不存在任何商业考虑。如有任何异议,请与本站联系,本站确认后将立即撤下。谢谢您的支持与理解!
相关评论
我要评论
评论内容
相关文章
推荐文章