桌面不顯示圖標(biāo)的盜號(hào)木馬清除方法
更新時(shí)間:2007年04月13日 00:00:00 作者:
上周,金山反病毒中心截獲一個(gè)以盜取“魔域”、“完美世界”和“浩方游戲平臺(tái)”為目的的木馬病毒,該病毒名為Win32.Troj.OnlineGames.ms.18432,自上周四出現(xiàn)以來已經(jīng)衍生多個(gè)變種。金山客服中心接到大量用戶投訴,反映系統(tǒng)重啟無法顯示桌面。金山毒霸(病毒庫(kù)版本2007.04.07.16)已經(jīng)可以查殺該病毒目前所有變種。
病毒分析報(bào)告:
這是一個(gè)盜取“魔域”、“完美世界”和“浩方游戲平臺(tái)”帳號(hào)為目的的木馬,它用特殊的方法逃避殺毒軟件的查殺,可能是病毒作者制作程序的BUG導(dǎo)致系統(tǒng)重啟時(shí),無法正常顯示桌面。
1:拷貝文件
病毒運(yùn)行后,會(huì)把自己拷貝到系統(tǒng)目錄中
C:\WINDOWS\system32\wsttrs.exe
并釋放一個(gè)病毒文件
C:\WINDOWS\system32\wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)
之后病毒體會(huì)自刪除
2:添加啟動(dòng)項(xiàng)
病毒會(huì)在注冊(cè)表中添加一啟動(dòng)項(xiàng),使自己隨Windows啟動(dòng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"wsttrs" = "C:\WINDOWS\wsttrs.exe"
可能是木馬作者的疏忽,正是這個(gè)下次開機(jī)自動(dòng)加載的程序?qū)е孪到y(tǒng)不能正常顯示桌面。
3:關(guān)閉殺毒軟件
病毒會(huì)尋找殺毒軟件的窗口,并關(guān)閉該窗口。如果發(fā)現(xiàn)殺毒軟件主程序被關(guān)閉,正是病毒入侵的信號(hào)。
4:盜取帳號(hào)
病毒會(huì)尋找網(wǎng)絡(luò)游戲"魔域"的游戲進(jìn)程,并使用鉤子讀取用戶輸入的游戲帳號(hào)與信息,并把得到的信息通過wsttrs.dll文件以網(wǎng)站上傳的方式發(fā)送到木馬種植者事先指定的網(wǎng)站上去,使用戶的游戲帳號(hào)丟失。
以下是該病毒的手動(dòng)解決方案:
1、在windows XP及其以上系統(tǒng)中:
當(dāng)無法進(jìn)入桌面的時(shí)候,調(diào)出windows任務(wù)管理器(Ctrl+Alt+Delete調(diào)出),切換到進(jìn)程標(biāo)簽,然后找到 wsttrs.exe進(jìn)程,選中后單擊右鍵結(jié)束進(jìn)程,既可正常顯示桌面。


2、在windows 2000及其它系統(tǒng)中
重啟系統(tǒng)時(shí),連續(xù)快速按F8,在啟動(dòng)菜單中選擇帶網(wǎng)絡(luò)連接的安全模式啟動(dòng),在線升級(jí)毒霸到最新版本(2007.04.07.16),對(duì)windows目錄進(jìn)行查毒,病毒查殺結(jié)束后,重啟系統(tǒng)即可正常顯示桌面。
3、當(dāng)以上兩種方案都不能成功,則有可能是該病毒的最新變種,應(yīng)進(jìn)入安全模式,打開注冊(cè)表編輯器,定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce (注意是RunOnce不是Run),查找啟動(dòng)程序位于 系統(tǒng)盤\windows 或者 系統(tǒng)盤\WinNT 文件夾下的啟動(dòng)項(xiàng)。
例如:
wstthrs c:\windows\wsttrs.exe
或者
wstthrs c:\winnt\wsttrs.exe
刪除該鍵值,根據(jù)注冊(cè)表中提供的程序路徑,找到該病毒文件,按ctrl+X剪切,在桌面(或其它位置)按Ctrl+V粘貼該病毒文件,然后訪問up.duba.net,向金山毒霸提交該文件。最后,刪除該樣本文件,重啟系統(tǒng)。
病毒分析報(bào)告:
這是一個(gè)盜取“魔域”、“完美世界”和“浩方游戲平臺(tái)”帳號(hào)為目的的木馬,它用特殊的方法逃避殺毒軟件的查殺,可能是病毒作者制作程序的BUG導(dǎo)致系統(tǒng)重啟時(shí),無法正常顯示桌面。
1:拷貝文件
病毒運(yùn)行后,會(huì)把自己拷貝到系統(tǒng)目錄中
C:\WINDOWS\system32\wsttrs.exe
并釋放一個(gè)病毒文件
C:\WINDOWS\system32\wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)
之后病毒體會(huì)自刪除
2:添加啟動(dòng)項(xiàng)
病毒會(huì)在注冊(cè)表中添加一啟動(dòng)項(xiàng),使自己隨Windows啟動(dòng)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"wsttrs" = "C:\WINDOWS\wsttrs.exe"
可能是木馬作者的疏忽,正是這個(gè)下次開機(jī)自動(dòng)加載的程序?qū)е孪到y(tǒng)不能正常顯示桌面。
3:關(guān)閉殺毒軟件
病毒會(huì)尋找殺毒軟件的窗口,并關(guān)閉該窗口。如果發(fā)現(xiàn)殺毒軟件主程序被關(guān)閉,正是病毒入侵的信號(hào)。
4:盜取帳號(hào)
病毒會(huì)尋找網(wǎng)絡(luò)游戲"魔域"的游戲進(jìn)程,并使用鉤子讀取用戶輸入的游戲帳號(hào)與信息,并把得到的信息通過wsttrs.dll文件以網(wǎng)站上傳的方式發(fā)送到木馬種植者事先指定的網(wǎng)站上去,使用戶的游戲帳號(hào)丟失。
以下是該病毒的手動(dòng)解決方案:
1、在windows XP及其以上系統(tǒng)中:
當(dāng)無法進(jìn)入桌面的時(shí)候,調(diào)出windows任務(wù)管理器(Ctrl+Alt+Delete調(diào)出),切換到進(jìn)程標(biāo)簽,然后找到 wsttrs.exe進(jìn)程,選中后單擊右鍵結(jié)束進(jìn)程,既可正常顯示桌面。


2、在windows 2000及其它系統(tǒng)中
重啟系統(tǒng)時(shí),連續(xù)快速按F8,在啟動(dòng)菜單中選擇帶網(wǎng)絡(luò)連接的安全模式啟動(dòng),在線升級(jí)毒霸到最新版本(2007.04.07.16),對(duì)windows目錄進(jìn)行查毒,病毒查殺結(jié)束后,重啟系統(tǒng)即可正常顯示桌面。
3、當(dāng)以上兩種方案都不能成功,則有可能是該病毒的最新變種,應(yīng)進(jìn)入安全模式,打開注冊(cè)表編輯器,定位到HKEY_LOCAL_MACHINE\SoftWare\Microsoft\Windows\CurrentVersion\RunOnce (注意是RunOnce不是Run),查找啟動(dòng)程序位于 系統(tǒng)盤\windows 或者 系統(tǒng)盤\WinNT 文件夾下的啟動(dòng)項(xiàng)。
例如:
wstthrs c:\windows\wsttrs.exe
或者
wstthrs c:\winnt\wsttrs.exe
刪除該鍵值,根據(jù)注冊(cè)表中提供的程序路徑,找到該病毒文件,按ctrl+X剪切,在桌面(或其它位置)按Ctrl+V粘貼該病毒文件,然后訪問up.duba.net,向金山毒霸提交該文件。最后,刪除該樣本文件,重啟系統(tǒng)。

相關(guān)文章
惡劣的U盤病毒W(wǎng)orm.Pabug.ck(OSO.exe)分析與查殺
惡劣的U盤病毒W(wǎng)orm.Pabug.ck(OSO.exe)分析與查殺...2007-02-02高危險(xiǎn)ANI鼠標(biāo)指針漏洞非官方免疫補(bǔ)丁
高危險(xiǎn)ANI鼠標(biāo)指針漏洞非官方免疫補(bǔ)丁...2007-04-04病毒Autorun.inf、pagefile.pif等的解決辦法
病毒Autorun.inf、pagefile.pif等的解決辦法...2007-03-03手動(dòng)清除AV終結(jié)者的方法與相關(guān)軟件
手動(dòng)清除AV終結(jié)者的方法與相關(guān)軟件...2007-06-06winsockfix網(wǎng)絡(luò)協(xié)議修復(fù)工具
winsockfix網(wǎng)絡(luò)協(xié)議修復(fù)工具...2007-06-06455373m.455373,infoms.tdm,zxfpri.dll,dhbpri.dll,xygpri.dll等病
455373m.455373,infoms.tdm,zxfpri.dll,dhbpri.dll,xygpri.dll等病毒的專殺工具...2007-08-08推薦Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)
推薦Searchnet.exe (trojan-spy.agent.iw) 清除方法 (有更新)...2007-03-03