病毒名称:Win32.Troj.Unknown.366080中文名称:暗组远控病毒类型:木马程序威胁等级:中等本期医生:痛并快乐着定时关闭端口的Svchost.exe进程最近我在论坛中看到网友推荐一款非常好看的播放器,就下载安装了,在安装时出现程序错误提示,当时以为无法安装就直接删除了。没过几天,我就在那个论坛上发现了我的一些私人照片。我知道电脑中毒了,急忙通知我哥哥,他检测了我的系统后发现有一个Svchost.exe进程,不但在偷偷地进行数据传输,并且还定时关闭传输数据的端口。哥哥结束这个进程,没有想到出现60秒倒计时关机。请问医生,这个病毒应该怎么清除?多重伪装巧隐藏本人绰号“暗组远程控制2008”, 由于“十八般武艺”样样精通,成为黑客进行远程控制的利器,在“腥风血雨”的网络中占有一席之地,你的私人照片被盗,就是我的杰作。我常常通过文件捆绑、邮件伪装等方式欺骗用户并植入系统。由于现在的杀毒软件都有主动防御功能,因此当我成功进入到用户系统以后,修改系统服务描述符表(主动防御就靠它起作用)让主动防御对我在系统中的操作“视而不见”。接着,我释放一个DLL文件到系统中的System32目录里面,然后将木马本身销毁,将释放的DLL插入到Svchost.exe进程中,所以一结束Svchost.exe进程就会出现60秒倒计时关机。tW.WiNgWIT.CoM为了可以随着系统自动启动,我还设置了一个对应的启动信息。我采用的方法和其他木马不同,它们往往通过新建的服务来进行启动,而我是对系统的BITS服务信息(BITS服务是Windows系统自带的服务之一,可以利用空闲网络带宽在后台传送文件)进行替换,这样除了可以方便隐藏也能轻松穿透防火墙的拦截。除了隐藏功能不错外,我的控制功能也是相当的强,包括屏幕控制、视频控制、文件管理、键盘记录等常见的控制功能。利用视频控制可以打开远程的摄像头,从而捕捉到远程的视频信息;利用键盘记录功能可以记录远程系统的键盘操作,比如账号和密码的输入等。所以要盗你的私人照片并不困难!手工清除“暗组远控”病毒这个病毒很狡猾、很善于隐藏,要捉它要下一番功夫,仅靠杀毒软件是很难完整恢复系统的。手工查杀方法如下所示:第一步:首先运行安全工具WSysCheck,点击“进程管理”标签后在进程列表中找到显示为粉红色的Svchost.exe进程。选中这个进程后会在窗口下方,看到一个名为12345.dll的DLL文件,选中它点击右键中的“卸载模块”命令(见图)。
第二步:接着点击程序的“服务管理”标签,从服务列表中找到红色的BITS服务。点击右键菜单中的“定位注册表项”命令,程序自动跳转到注册表管理标签。选择注册表中的ServiceDLL这项,点击右键中的“编辑值”命令,然后在弹出的窗口中将值恢复为系统默认的%SystemRoot%\System32\qmgr.dll。第三步:然后点击程序的“文件管理”标签,在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后,点击右键中的“直接删除文件”命令,就能够成功地将木马从系统中彻底清除。