- 最后登录
- 2012-2-9
- 在线时间
- 5196 小时
- 注册时间
- 2002-1-15
- 阅读权限
- 255
- 帖子
- 17760
- 精华
- 41
- UID
- 1437137
 
- 铜钱
- 16047
- 元宝
- 400
- 威望
- 43888
- 积分
- 22856
|
发表于 2007-11-20 17:35:14
|显示全部楼层
病毒名称(中文):Win32.Troj.Autorun.go.15173& }! f0 |5 w$ {4 f4 l7 U
. w9 b$ T! `3 g. k3 ~: t
威胁级别:★☆☆☆☆
3 e- G$ o' _2 D" i4 D病毒类型:木马程序
$ K3 \ w0 j5 R0 |" J病毒长度:15173
P# d9 p8 [8 U0 N影响系统:WinNT Win2000 WinXP
6 P8 L: L' \% r. @' o
# ]0 x$ a7 g, w% @- R i3 E病毒行为:
/ F/ J- a7 `4 ~0 ]- O* R病毒把本身复制到%SystemRoot%\system32\dllcache\svchost.exe 覆盖原来的svchost.exe 。# B! t' T* a% B' k3 q6 V0 K& _
创建系统服务使病毒自身能达到开机自动运行。, y1 }. T4 e1 m" {3 f1 C y
结束以下进程:(这个木马专门针对金山清理专家和金山网镖)/ T# {1 o! ~4 [2 O2 R! r1 m7 ]
KASMain.exe- X9 ^0 f" [: L/ E: L% [7 @! Y
kpfwsvc.exek
0 l0 g! v9 A( k6 s8 _' O2 Q% D6 k添加文件:
5 d! n) P6 B; _4 M2 o%SystemRoot%\system32\dllcache\svchost.exe
& T. X8 A# H, \3 _) q7 O$ y( K9 V%SystemRoot%\system32\dllcache\1028\svchost.exe
7 q; A0 C: u9 b%SystemDrive%\auto.exe(每个磁盘根目录都会多出一个auto.exe)
; O0 C( d; ?7 O+ q# N添加注册表:4 ^ V: E/ V' Z5 q
键名:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\svchost
0 S: a( | n' c键名:HKEY_CURRENT_USER\System\CurrentControlSet\Services\svchost
0 S0 ?6 `0 a! J6 T) I6 h, D. r! l Z; y2 P+ r) `: H( r
! F& v) {- _$ y8 r
解决方案:
# K; }/ V9 `; n0 \这个病毒比较简单,解决它很容易,重启到带命令安全模式删除这三个文件(或者,安全模式下用金山清理专家的文件粉碎器干掉它们),最简单的就是装毒霸08升级后,扫描以下位置,发现病毒要求重启清除时,按提示重启计算机就可以了。6 C3 V3 R; Z/ k+ N: r N4 g* s
%SystemRoot%\system32\dllcache\svchost.exe! w: Q: ?! U( X+ h; G8 i
%SystemRoot%\system32\dllcache\1028\svchost.exe
0 N3 X8 C# H+ o2 w8 [%SystemDrive%\auto.exe(每个磁盘根目录都会多出一个auto.exe)
8 w. n1 ?# z1 ]) P$ ]. D' e
, p N% }* m( g2 @% }5 M8 C9 s) Y& F防范措施:; s, R+ i w6 w2 K) _+ |: {) M
1.启用网络防火墙软件,拦截病毒通过网络攻击传播;
+ f% `( [5 p1 H7 B2.使用漏洞修复软件或windows update及时修补系统漏洞,特别需要注意升级IE浏览器。- w' I2 U* s9 M# x
3.及时升级杀毒软件,开启实时监控,可有效阻止已知的病毒入侵
6 s; {$ d8 r @# {2 m% z4.关闭windows的自动播放功能,阻止病毒通过U盘传播。可以使用金山清理专家2.1实现,安全百宝箱中有自动运行管理器,将所有驱动器的自动播放关闭就可以。 |
|
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2007-11-24 08:15:42