Trojan.PSW.Zhengtu征途木马的查杀方法 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Trojan.PSW.Zhengtu征途木马的查杀方法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

Trojan.PSW.Zhengtu征途木马的查杀方法

sz上上签初生襁褓狮帖子:6 注册: 2007-01-31 来自:	发表于： 2007-02-01 21:46 \| 只看楼主短消息资料字号：小中大 1楼 Trojan.PSW.Zhengtu征途木马的查杀方法病毒特征:这是个将自己与一个征途多个辅助工具捆绑在一起的征途盗号木马。发作症状:开机就弹出很多病毒警告，病毒文件是ztdll.dll，隔离和清除都失败，重新启动进入安全模式杀毒，把ztdll.dll清除掉，重启后进入系统又弹出同样的病毒警告，证明病毒源未找到。后来在系统进程里发现一个不正常的进程svhost32.exe，经过查找，发现果然是它在做怪，其运行原理是开机自动加载运行，然后释放ztdll.dll。病毒原理:该病毒在被执行时首先执行捆绑的病毒体，然后弹出一个征途多开辅助工具的界面。病毒体执行的过程中会释放病毒文件到 %UserDir%\Local Settings\Temp\zt.exe下并执行。由病毒文件zt.exe释放文件%system%\dll.dll，并将其设置为只读、系统和隐藏属性，并且修改注册表项。该木马病毒不断的查找征途客户端窗口，获得用户帐号信息后发送到指定网站。清除病毒办法: 1. 任务管理器里结束进程 svhost32.exe 2. 删除文件 C:\ProgramFiles\svhost32.exe 3. 运行regedit.exe进入注册表，删除启动项: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="%ProgramFiles%\svhost32.exe" 2007-02-01 21:53:11
sz上上签初生襁褓狮帖子:6 注册: 2007-01-31 来自:	分享到：

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-02-01 21:58 \| 短消息资料字号：小中大 2楼只使用于部分变种看看如下几个分析报告：病毒名称：Trojan.PSW.ZhengTu.agf 病毒类型：病毒标准大小：13,824B 病毒启动方式：注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动 —————————————————————————————————————————————————————————————————————————————— 添加文件： C:\Documents and Settings\ufo\Local Settings\Temp\syre.dll（7,168B） C:\Documents and Settings\ufo\Local Settings\Temp\syre.exe 文件PEID信息：系统进程：无进程 —————————————————————————————————————————————————————————————————————————————— 注册表添加：添加启动项 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syre: "C:\DOCUME~1\ufo\LOCALS~1\Temp\syre.exe" 注册表修改： —————————————————————————————————————————————————————————————————————————————— 其他信息： 1、运行后病毒删除自身。
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-02-01 22:00 \| 短消息资料字号：小中大 3楼病毒名称：Trojan.PSW.ZhengTu.mt 病毒类型：病毒标准大小：45,056B 病毒启动方式：注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run启动 —————————————————————————————————————————————————————————————————————————————— 添加目录： C:\Program Files\Microsoft\ 添加文件： C:\WINDOWS\system32\msdll.dll（50,176B） C:\Program Files\Microsoft\svhost32.exe C:\Documents and Settings\ufo\Local Settings\Temp\$$c1.tmp（0B）文件PEID信息：系统进程：svhost32.exe 进程用户：当前用户测试时进程ID：1744 —————————————————————————————————————————————————————————————————————————————— 注册表添加：添加启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ms: "C:\Program Files\Microsoft\svhost32.exe" —————————————————————————————————————————————————————————————————————————————— 其他信息： 1、病毒运行后删除自身。
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2007-02-01 22:02 \| 短消息资料字号：小中大 4楼你的方法都不适合对于病毒没有同一方法
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT