Trojan.PSW.SBoy.a解决方案.doc

Trojan.PSW.SBoy.a专杀 Trojan.PSW.SBoy.a explorer.exe2007-03-05 21:47 简要说明： 正常的系统文件在系统文件的位置： c:\windows\explorer.exe (c:\winnt\explorer.exe) 该病毒利用了微软缺省系统路径执行文件的原理，若不明写路径执行某个文件时，系统会首先在 ％system32％下查找，若没有，再在％windows％目录下查找…… 这个病毒将自己放在％system32％目录下： c:\windows\system32\explorer.exe(c:\winnt\system32\explorer.exe) 另外还生成一个类似批处理的文件： c:\windows\explorer.scf (c:\winnt\explorer.scf)，与真正的系统explorer.exe文件在一起，它的内容如下： [Shell] Command=2 IconFile=explorer.exe,1 [Taskbar] Command=Explorer 这里注意注册表的文件关联， HKEY_CLASSES_ROOT\.scf 默认=SHCmdFile HKEY_CLASSES_ROOT\SHCmdFile\shell\open\command 默认=explorer.exe (注释：这里没有写路径，优先执行c:\windows\system32\下的explorer.exe病毒文件，病毒就是利用了这一点，该注册表键值不用修改，只是将 上面的 explorer.scf 文件删除即可) 清除方法： 1，首先结束该病毒的进程（注意与真正的系统进程区分，病毒进程占用内存比较少，大约4M） 2，将上面橙色标记的文件和注册表键值删除即可。 下面是补充的（2007.06.05） 该病毒的行为动作： 窃取 网络游戏的帐号及密码；利用网页漏洞以及U盘传播； 释放自己到系统目录： c:\windows\system32\explorer.exe , c:\windows\system32\wsctf.exe 修改注册表键值： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit=userinit.exe,EXPLORER.EXE HKLM\ Software\Microsoft\Windows\CurrentVersion\Run ^^^=^^^^^^^^ 窃取以下网络游戏的帐号： Warcraft III Counter-Strike NFS Underground 2 梦幻西游ONLINE Crazy Arcade 梦幻国度 O2-JAM 浩方对战平台 PopKart Client 传奇世界客户端 剑侠情缘·网络版 封神榜·网络版 YB_OnlineClient 问道 legend of mir2 QQ幻想1.64 QQ幻想1.65 QQ幻想1.66 QQ幻想1.67 街头篮球 三国策 飞飞 (Fly for Fun) CTRacer Client 《疯狂赛车》引导程序 Audition 刀剑Online 大话西游 大话西游 II (revision 37230) 大话西游 II (revision 37231) 大话西游 II (revision 37232) QQGame 每个硬盘以及移动硬盘的根目录下都会释放AutoRun.inf 文件，该文件内容如下： [autorun] OPEN=EXPLORER.EXE shell\open=打开(O) shell\open\Command=EXPLORER.EXE shell\open\Default=1 shell\explore=资源管理器(X) shell\explore\Command=EXPLORER.EXE 综上所述： 该liveMalware释放了以下文件： c:\windows\explorer.scf c:\windows\system32\explorer.exe , c:\windows\system32\wsctf.exe x:\auturun.inf x:\explorer.exe 修改注册表： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Userinit=userinit.exe,EXPLORER.EXE HKLM\ Software\Microsoft\Windows\CurrentVersion\Run ^^^=^^^^^^^^ HKEY_CLA