close
若掃毒程式沒有及時發現並阻擋該木馬程式的執行,而使用者自行執行會發生以下的狀況:
以此木馬程式的發生狀況!
1、執行1.com會自動解壓縮含有木馬到 C:\Program Files\Windows Media Player 目錄當中 的並執行含有木馬的svchost.exe 到記憶體當中
2、解壓縮含有木馬的動態連結庫 PDLL.dll 到 C:\WINDOWS\system32 目錄當中
3、增加登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media player\svchost.exe
*** 解毒方法:
1、開啟工作管理員,並停用svchost.exe ! 可是這麼多個 svchost 檔案,不知道要停用哪一個哩! 這很簡單,由於中毒的時候是用該使用者的帳號(大都administrator) 只要觀看使用者不是為 SYSTEM 、 LOCAL SERVICE 與 NETWORK SERVICE 這三種使用者名稱的話,就可以得知該啟動常駐的啟動帳號! 就可以"結束停止工作程序"!
2、刪除 C:\WINDOWS\system32\PDLL.dll 與 C:\Program Files\Windows Media Player\svchost.exe
3、刪除登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe !切記!是刪除裡面的值,而不是整個刪除!要留下 C:\windows\System32\userinit.exe這個值即可!
4、更新病毒碼!執行全面系統掃毒!建議:最好到安全模式執行掃毒!還有XP系統請關閉"系統還原"的功能!以免病毒還會留著!
以此木馬程式的發生狀況!
1、執行1.com會自動解壓縮含有木馬到 C:\Program Files\Windows Media Player 目錄當中 的並執行含有木馬的svchost.exe 到記憶體當中
2、解壓縮含有木馬的動態連結庫 PDLL.dll 到 C:\WINDOWS\system32 目錄當中
3、增加登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media player\svchost.exe
*** 解毒方法:
1、開啟工作管理員,並停用svchost.exe ! 可是這麼多個 svchost 檔案,不知道要停用哪一個哩! 這很簡單,由於中毒的時候是用該使用者的帳號(大都administrator) 只要觀看使用者不是為 SYSTEM 、 LOCAL SERVICE 與 NETWORK SERVICE 這三種使用者名稱的話,就可以得知該啟動常駐的啟動帳號! 就可以"結束停止工作程序"!
2、刪除 C:\WINDOWS\system32\PDLL.dll 與 C:\Program Files\Windows Media Player\svchost.exe
3、刪除登錄檔中的HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon 裡面的 Userinit的值 C:\Program Files\Windows Media Player\svchost.exe !切記!是刪除裡面的值,而不是整個刪除!要留下 C:\windows\System32\userinit.exe這個值即可!
4、更新病毒碼!執行全面系統掃毒!建議:最好到安全模式執行掃毒!還有XP系統請關閉"系統還原"的功能!以免病毒還會留著!
全站熱搜
留言列表
學習 (2)