其实现在,大家对于病毒已经不再觉得害怕了,毕竟最多是破坏系统,导致系统瘫痪,而拥有良好电脑使用习惯的人,基本都不在C盘存放重要文档,而中了病毒之后,大不了ghost一下^_^,而木马就不同了,在网络时代,木马是真正具有威胁的新病毒形式,尤其是游戏账号和网络银行,中了厉害的木马,那损失……如果是电脑上有非常重要的资料,损失也会非常惨重……最近的新网银木马,就是一个非常厉害的东东……
近日,金山反病毒中心截获一特殊的木马病毒,该木马会删除系统的关键登录程序userinit.exe,导致系统重启后反复登录,无法进入桌面。金山反病毒中心已经紧急升级处理该病毒,将提供了系统修复方案。
以下是该病毒的详细分析:
病毒名:Win32.Troj.BankJp.a.221184
这是一个具有破坏性的木马病毒。会查找“个人银行专业版”的窗口并盗取网银账号密码,如招商银行等;该病毒还会替换大量系统文件,如userinit.exe、notepad.exe等。会引起进入系统时反复注销等问题。建议使用金山清理专家进行清除,并恢复userinit.exe等系统文件后再重起计算机,该病毒通过可移动磁盘传播。
1,生成文件:
%windir%\mshelp.dll
%windir%\mspw.dll
2,添加服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\power
3,主要危害
查找“个人银行专业版”的窗口,并从内存读取账号密码,威胁用户财产安全。
4,其它危害
使用驱动,进行键盘记录,威胁用户财产及隐私安全。
5,备份下列文件
%system%\userinit.exe -> %system%\dllcache\c_20911.nls
%windir%\notepad.exe -> %system%\dllcache\c_20601.nls
%system%\calc.exe -> %system%\dllcache\c_20218.nls
6,用病毒文件替换下列文件
%system%\notepad.exe
%windir%\calc.exe
%system%\userinit.exe
%system%\dllcache\notepad.exe
%system%\dllcache\calc.exe
%system%\dllcache\userinit.exe
7,会在根目录下创建文件夹RECYCLER..,存放病毒备份。
8,删除windows目录下的下列文件
notepad.exe
calc.exe
userinit.exe
svchost.exe
9,该病毒会自动更新
因为病毒程序用自身替换了userinit.exe,重启系统时,会发现无法登录,反复注销。出现这个情况时,不必忙着重装系统,修复还是需要花一些功夫的,请参考以下解决方案:
来源:
转载
