Bookmark:

若掃毒程式沒有及時發現並阻擋該木馬程式的執行，而使用者自行執行會發生以下的狀況：
　
以此木馬程式的發生狀況！
１、執行1.com會自動解壓縮含有木馬到 C:\Program Files\Windows Media Player 目錄當中 的並執行含有木馬的svchost.exe　到記憶體當中
　
２、解壓縮含有木馬的動態連結庫　PDLL.dll　到　C:\WINDOWS\system32　目錄當中
　
３、增加登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media player\svchost.exe

＊＊＊　解毒方法：
１、開啟工作管理員，並停用svchost.exe ! 可是這麼多個 svchost 檔案，不知道要停用哪一個哩！　這很簡單，由於中毒的時候是用該使用者的帳號（大都administrator） 只要觀看使用者不是為 SYSTEM 、 LOCAL SERVICE 與 NETWORK SERVICE 這三種使用者名稱的話，就可以得知該啟動常駐的啟動帳號！　就可以＂結束停止工作程序＂！
　
２、刪除　C:\WINDOWS\system32\PDLL.dll 與 C:\Program Files\Windows Media Player\svchost.exe
　
３、刪除登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe ！切記！是刪除裡面的值，而不是整個刪除！要留下　C:\windows\System32\userinit.exe這個值即可！
　
４、更新病毒碼！執行全面系統掃毒！建議：最好到安全模式執行掃毒！還有ＸＰ系統請關閉＂系統還原＂的功能！以免病毒還會留著！

Trackback URL:
技術文件::Comments(0)::Trackback(0) ::Hits(243)