11.11-11.17流行病毒排行榜NO.7:Win32.Troj.Autorun.go.15173
病毒名称(中文):Win32.Troj.Autorun.go.151739 m" o+ g" N8 r4 V1 c$ D
$ p% \; n0 g5 Z2 n
威胁级别:★☆☆☆☆
; |& x' I/ ?1 j1 ~8 U病毒类型:木马程序: `) r( V+ b5 l$ n. q
病毒长度:15173
% |. X* j$ V Q影响系统:WinNT Win2000 WinXP
" K0 C* w8 _4 }& J! S& Y h- w " t7 U& h N8 b/ T4 J4 |+ I. {
病毒行为:
* S0 `" S, W) f5 J- a" X" q病毒把本身复制到%SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的svchost.exe 。- W; H2 y# G+ F' U
创建系统服务使病毒自身能达到开机自动运行。. g1 u* t( X1 z4 A2 M2 X/ J
结束以下进程:(这个木马专门针对金山清理专家和金山网镖)
: |0 p9 H9 F0 Q$ W, i2 fKASMain.exe
& c, O7 N% a4 |+ D2 [kpfwsvc.exek+ A5 K6 v2 z! R4 _ z
添加文件:
( Q/ q6 Q, Y ]1 x3 A%SystemRoot%\system32\dllcache\svchost.exe/ b u; m& h, d8 r
%SystemRoot%\system32\dllcache\1028\svchost.exe& b6 p+ z% E6 N7 w' Z
%SystemDrive%\auto.exe(每个磁盘根目录都会多出一个auto.exe)
0 {6 S+ e& W, s Y j9 t添加注册表:
# d* C5 E1 \2 o b键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost1 @4 `/ E3 O8 `8 i
键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
5 A0 S( _3 z2 p) E4 o! c
* ]+ D2 o( w! e0 @4 s9 |4 p# a: f0 M6 P' Q! I
解决方案: o. L( E) m2 y8 W6 A; h
这个病毒比较简单,解决它很容易,重启到带命令安全模式删除这三个文件(或者,安全模式下用金山清理专家的文件粉碎器干掉它们),最简单的就是装毒霸08升级后,扫描以下位置,发现病毒要求重启清除时,按提示重启计算机就可以了。4 A4 A6 b |: z% w- g( e
%SystemRoot%\system32\dllcache\svchost.exe8 m6 U/ u8 O1 Z4 o' Y$ I0 k
%SystemRoot%\system32\dllcache\1028\svchost.exe0 o" i! P3 D7 o7 l' D5 D* x
%SystemDrive%\auto.exe(每个磁盘根目录都会多出一个auto.exe)
H4 v5 q3 X! u4 z6 A$ F& ?5 E* G& b! C& N) e0 \
防范措施:* r; X# L) \5 F' x5 w/ `9 Y
1.启用网络防火墙软件,拦截病毒通过网络攻击传播;
- n& ]6 ~5 E3 Y: v. X3 @. t. }2.使用漏洞修复软件或windows update及时修补系统漏洞,特别需要注意升级IE浏览器。! f0 F! {" R, G' c, w( i; N, \9 \
3.及时升级杀毒软件,开启实时监控,可有效阻止已知的病毒入侵/ U3 M' y) G# l; [- H" ?+ F( ?
4.关闭windows的自动播放功能,阻止病毒通过U盘传播。可以使用金山清理专家2.1实现,安全百宝箱中有自动运行管理器,将所有驱动器的自动播放关闭就可以。
搜索更多相关主题的帖子:
Autorun 排行榜
