减小字体
增大字体
作者:佚名 来源:本站整理 发布时间:2015/4/4 17:16:39
c:\WINDOWS\FileName.jpg木马病毒文件。开机后会作为服务程序运行。
此木马病毒会通过对外非法开放7410端口,让黑客执行如下操作:
(1)可以传送计算机系统和网络信息给黑客,其中包括网络登陆名和缓存网络密码信息。
(2)非法打印文件,播放媒体文件,打开或关闭光盘驱动器。
(3)非法下载和执行文件。
解决办法
1、挂起svchost这个进程,svchost这个进程很多,注意看这个进程的命令行,命令行最后是imgsvc的这个挂起。
2、删除启动项,在服务的启动项中有一个随机文件名的(一眼就可以看出来的,正常的话应该排在挺前面的)的服务删掉,还有一个wi0Gd2g.sys的服务启动项也删掉(文件名可能不同但也是随机名的,应该也能看出来)
3、删除c:\windows\filename.jpg就是这个DLL的文件(伪装成JPG),还有一个C:\temp\wi0Gd2g.sys的文件也删掉(这个就是上面的那个随机启动服务)
4、注册表HKEY_LOCAL_MACHINE\software\下面有2个随机长串数字的注册表项也删掉,有兴趣的话可以看看,可以发现一些端倪