桌面一片空白(不显示图标)的盗号木马清除指南

简介:
上周, 金山 反病毒中心截获一个以盗取“魔域”、“完美世界”和“浩方 游戏 平台”为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种。 金山 客服中心接到大量用户投诉,反映系统重启无法显示桌面。 金山 毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种。

病毒分析报告
这是一个盗取“魔域”、“完美世界”和“浩方游戏平台”帐号为目的的木马,它用 特殊 的方法逃避杀毒软件的查杀,可能是病毒作者制作 程序 的BUG导致系统重启时,无法正常显示桌面。

1:拷贝文件
病毒运行后,会把自己拷贝到系统目录中
C:\WINDOWS\system32\wsttrs.exe
并释放一个病毒文件
C:\WINDOWS\system32\wsttrs.dll (Win32.Troj.Onlinegames.nb.12288)
之后病毒 体会 自删除

2:添加启动项
病毒会在注册表中添加一启动项,使自己随Windows启动
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft \Windows\CurrentVersion\RunOnce
"wsttrs" = "C:\WINDOWS\wsttrs.exe"
可能是木马作者的疏忽,正是这个下次开机自动加载的程序导致系统不能正常显示桌面。

3:关闭杀毒软件
病毒会寻找杀毒软件的窗口,并关闭该窗口。如果 发现 杀毒软件主程序被关闭,正是病毒入侵的信号。

4:盗取帐号
病毒会寻找网络游戏"魔域"的游戏进程,并使用钩子读取用户输入的游戏帐号与信息,并把得到的信息通过wsttrs.dll文件以网站上传的方式发送到木马种植者事先指定的网站上去,使用户的游戏帐号丢失。

以下是该病毒的手动解决方案:
1、在windows XP及其以上系统中:
当无法进入桌面的时候,调出windows任务管理器(Ctrl+Alt+Delete调出),切换到进程标签,然后找到 wsttrs.exe进程,选中后单击右键结束进程,既可正常显示桌面。

按此在新窗口打开图片


按此在新窗口打开图片

2、在windows 2000及其它系统中
重启系统时,连续快速按F8,在启动 菜单 中选择带网络连接的安全模式启动,在线升级毒霸到最新版本(2007.04.07.16),对windows目录进行查毒,病毒查杀结束后,重启系统即可正常显示桌面。
3、当以上两种方案都不能成功,则有可能是该病毒的最新变种,应进入安全模式,打开注册表编辑器, 定位 到HKEY_LOCAL_MACHINE\SoftWare\ Microsoft \Windows\CurrentVersion\RunOnce       (注意是RunOnce不是Run),查找启动程序位于 系统盘\windows 或者 系统盘\WinNT 文件夹下的启动项。
例如: 
wstthrs                   c:\windows\wsttrs.exe
或者
wstthrs                   c:\winnt\wsttrs.exe
删除该键值,根据注册表中提供的程序路径,找到该病毒文件,按ctrl+X剪切,在桌面(或其它位置)按Ctrl+V粘贴该病毒文件,然后访问up.duba.net,向 金山 毒霸提交该文件。最后,删除该样本文件,重启系统。

按此在新窗口打开图片
























本文转自starger51CTO博客,原文链接:http://blog.51cto.com/starger/23541 ,如需转载请自行联系原作者


相关文章
|
3月前
|
安全 API
火绒安全软件的“另存为”对话框很特别……
火绒安全软件的“另存为”对话框很特别……
火绒安全软件的“另存为”对话框很特别……
|
安全 Windows
将爱心代码设为电脑屏保,还能假装黑客大佬,在酷炫的界面中保护隐私
本文介绍 Hacker Screen Saver 一款开源 Windows 屏保的使用。Hacker Screen Saver 是一款 .NET 设计的屏幕保护程序,可以显示 HTML 页面,你可以将黑客模拟器的网页,或者爱心代码网页设置为你的 Windows 电脑屏保。详细介绍了软件的使用和对应网页的修改和制作注意事项。
654 0
将爱心代码设为电脑屏保,还能假装黑客大佬,在酷炫的界面中保护隐私
|
监控 Android开发 iOS开发
与流氓弹窗斗争之路
与流氓弹窗斗争之路
127 0
与流氓弹窗斗争之路
|
安全
IE设置主页一直无果,尝试了右键软件看目标路径后缀无效,注册表也无效,最后在电脑管家里的工具浏览器保护搞定
IE设置主页一直无果,尝试了右键软件看目标路径后缀无效,注册表也无效,最后在电脑管家里的工具浏览器保护搞定
173 0
IE设置主页一直无果,尝试了右键软件看目标路径后缀无效,注册表也无效,最后在电脑管家里的工具浏览器保护搞定
|
SQL 监控 安全
网站木马清除对被植入木马 导致被西部数码关闭网站的解决办法
前段时间有一客户的网站打不开了,打开网站被提示什么:抱歉,主机因存在有害信息逾期未处理被关闭 Sorry, the site now can not be accessed. 客户第一时间找到我们SINE安全寻求解决方案,我们根据客户的反馈,进行详细的记录,分析问题,找到了被系统自动阻断拦截的原因,客户网站用的是西部数码主机,再一个主要的原因是,客户网站被篡改并上传了一些有害,违法的内容信息,导致被西部数码的有害信息监测处置系统监控到,立即进行了拦截,阻断处理。关于这个安全问题,我们记录下了整个的处理过程。
245 0
网站木马清除对被植入木马 导致被西部数码关闭网站的解决办法
|
Windows
使用360安全卫士实现应用程序不联网及删除右键菜单等
使用360安全卫士实现应用程序不联网及删除右键菜单等
249 0
使用360安全卫士实现应用程序不联网及删除右键菜单等
|
Android开发 Windows iOS开发
华硕电脑如何设置记事本软件窗口置顶
华硕电脑如何设置记事本软件窗口置顶?窗口置顶能让记事本一直保留在电脑屏幕的前端,随时都可以查看修改记事本内容。我们都知道电脑自带的记事本是无法设置窗口置顶的。
2682 0
电脑版敬业签记事本软件如何清除某个分类所有内容
敬业签,是一款可以备忘、记录、提醒的电脑手机云同步记事本软件。一个敬业签可以创建25项分类,每项分类500条便签,每条便签500个汉字。
1241 0