病毒称号：Win32.Troj.Unknown.366080中文称号：暗组远控病毒类型：木马程序要挟等级：中等本期医生：痛并快乐着定时封锁端口的Svchost.exe进程最近我在论坛中看到网友介绍一款十分难看的播放器，就下载装置了，在装置时发生程序失误揭示，过后认为不可装置就间接删除了。没过几天，我就在那个论坛上发现了我的一些公家照片。我知道电脑中毒了，急忙通知我哥哥，他检测了我的系统后发现有一个Svchost.exe进程，岂但在偷偷地启动数据传输，并且还定时封锁传输数据的端口。哥哥完结这个进程，没有想到发生60秒倒计时关机。请问医生，这个病毒应该怎样肃清？多重伪装巧暗藏自己绰号“暗组远程控制2008”， 因为“十八般武艺”样样知晓，成为黑客启动远程控制的利器，在“腥风血雨”的网络中占有一席之地，你的公家照片被盗，就是我的杰作。我经常经过文件捆绑、邮件伪装等形式诈骗用户并植入系统。因为如今的杀毒软件都有被动进攻配置，因此当我成功进入到用户系统以后，修正系统服务形容符表（被动进攻就靠它起作用）让被动进攻对我在系统中的操作“熟视无睹”。接着，我监禁一个DLL文件到系统中的System32目录外面，而后将木马自身销毁，将监禁的DLL拔出到Svchost.exe进程中，所以一完结Svchost.exe进程就会发生60秒倒计时关机。WWW.itComPuTeR.COm.Cn为了可以随着系统智能启动，我还设置了一个对应的启动信息。我驳回的方法和其余木马不同，它们往往经过新建的服务来启动启动，而我是对系统的BITS服务信息（BITS服务是Windows系统自带的服务之一，可以应用闲暇网络带宽在后盾传送文件）启动交流，这样除了可以繁难暗藏也能轻松穿透防火墙的阻拦。除了暗藏配置不错外，我的控制配置也是相当的强，包含屏幕控制、视频控制、文件治理、键盘记载等经常出现的控制配置。应用视频控制可以关上远程的摄像头，从而捕捉到远程的视频信息；应用键盘记载配置可以记载远程系统的键盘操作，比如账号和明码的输入等。所以要盗你的公家照片并不艰巨！手工肃清“暗组远控”病毒这个病毒很狡诈、很擅长暗藏，要捉它要下一番功夫，仅靠杀毒软件是很难完整恢复系统的。手工查杀方法如下所示：第一步：首先运转安保工具WSysCheck，点击“进程治理”标签后在进程列表中找到显示为粉白色的Svchost.exe进程。选中这个进程后会在窗口下方，看到一个名为12345.dll的DLL文件，选中它点击右键中的“卸载模块”命令（见图）。

第二步：接着点击程序的“服务治理”标签，从服务列表中找到白色的BITS服务。点击右键菜单中的“定位注册表项”命令，程序智能跳转到注册表治理标签。选用注册表中的ServiceDLL这项，点击右键中的“编辑值”命令，而后在弹出的窗口中将值恢复为系统自动的%SystemRoot%\System32\qmgr.dll。第三步：而后点击程序的“文件治理”标签，在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后，点击右键中的“间接删除文件”命令，就能够成功地将木马从系统中彻底肃清。

病毒称号：Win32.Huhk.d.7607中文称号：网银隐身劫匪病毒类型：盗号木马程序病毒目标：感化IE，偷盗工行网银本期医生：解国忠读者反映：我的工行网银遭到病毒危胁我为了启动网上买卖，很久前就申请了工商银行的网上银行，往常十分器重安保，时常杀毒。最近好友在QQ上给我发信息，说有一种新的网银病毒发生了，专门盗工行的网银。我想请问医生，这个信息是不是真的？假设中了这个病毒，应该怎样肃清？病毒自述：感化IE窃取网银账号“打打打劫，网银账号、明码，统统通知我……”对了，忘了启动自我引见了，我就是传说中的“网银隐身劫匪”。我这个“人”最大的好处就是专注，只窃取工商银行网银的账号信息。当我经过网页木马进入系统以后，首先会感化系统中IE阅读器的主程序Iexplore.exe。因为我的体积十分小，遭到感化的Iexplore.exe程序大小不会发生任何扭转。这样当用户经常使用IE阅读器登录工商银行的网银系统启动买卖时，我就可以智能截取少量的关系信息（图1），包含用户的支付卡号、接纳卡号、明码信息、收款人姓名、收款人所在地等，总之一句话所有的敏感信息都会被记载上去。当我失掉到账号信息后，就会轻轻衔接病毒作者指定的一个远程主机，让病毒作者把握用户的网银账号和明码，甚至包含系统中的团体隐衷，从而给用户形成不可预计的损失。一切的盗号、传输操作成功以后，我存在系统中也没有什么意义。因此我会在Windows系统目录中的备份Dllcache文件夹中，用原版的Iexplore.exe文件交流被感化的IE阅读器文件。这样系统就没有任何与我无关的痕迹，到时刻用户想检测都没法检测失掉，哈哈哈哈！本期医生：交流Iexplore.exe再杀毒“网银隐身劫匪”是一个典型的感化型病毒，只管会给网银用户带来很大的风险，然而它技术含量不高，很容易就能肃清。首先应用Windows PE盘启动系统，进入到Windows PE盘的系统界面。经过资源治理器阅读Program Files文件夹，找到并选中IE阅读器的主文件Iexplore.exe，点击“复制到”命令，在弹出的窗口选用系统IE阅读器的门路X:\Program Files\Internet Explorer。这时系统会弹出相应的揭示，间接点击“是”按钮就可以交流感化的IE阅读器文件（图2）。从新启动系统，并在计算机开启BIOS加载完之后，迅速按下键盘的F8键。在发生的Windows初级选项菜单当选用“安保形式”。而后启动杀毒软件并更新到最新的病毒库，再启动查杀就可以肃清病毒残留物。因为如今网银病毒众多，经常使用文件数字证书或移动数字证书启动数据加密是防范网银被盗的最上策。另外退出电脑系统时，最好将系统启动锁定或许拔掉保留有移动版数字证书的闪存盘。

我是一家网吧的网管，为了保养网吧的电脑以及包全操作系统的安保，我给每台电脑都装置了恢复系统。最近发现很多电脑的操作系统都得了“重感冒”，老是被木马、病毒侵袭，即使装置了恢复系统也不可阻挠。起初我用安保工具审核，发现电脑中了一个名为Win32.Troj.DownloaderT.pl.43008的病毒。求教医生，我的恢复系统是被它破解的吗？我要怎样能力彻底覆灭该病毒呢？病毒自述：我的名字就叫“关门放狗”看过周星驰《七品芝麻官》的好友们都知道一句经典台词“关门放狗”，如今这句台词就成为了我的小名！我岂但会运用天分将电脑的恢复系统彻底破解掉，让自己深深扎根于电脑操作系统中，还会继续散播一些木马病毒，让你们的电脑彻底曝光在黑客的眼皮之下。上方就来看看我是如何一步步成功目标的。当我进入用户的电脑系统后，首先会在系统盘中监禁出五个病毒文件，其中的四个文件区分为1.exe、2.exe、3.exe、4.exe，这四个文件是在系统盘根目录下（图1），还有一个是在系统盘WINDOWS\Temp\目录下随机命名的TMP文件，这个文件其实就是晚辈“机器狗”病毒的驱动程序。接着，我就想方法让自己扎根于电脑操作系统中，迅速修正系统注册表，把自己的关系信息添加其中，成功随系统启动而智能运转之目标。我会创立一个名为“sys_flt”的服务，而后该服务程序指向在Temp目录中生成的TMP文件。当这个TMP文件被顺利加载后，就能将我自身复制到系统盘的“DocumentsandSettings\AllUsers\「开局」菜单\程序\启动\”目录下，并设置属性为只读。当我在电脑系统里站稳脚跟后，就经过一系列极速地攻打，解除恢复系统对电脑的包全，让我自己深深扎根于用户的电脑中！我会轻轻地衔接这个由木马种植者指定的地址，下载许多木马程序到用户电脑上运转，给用户的系统安保带来不可估量的要挟。本期医生：经常使用“打狗棒法”肃清恶狗假设是网吧的话，最简便快捷的肃清方法是应用GHOST在短期间内恢复系统，毕竟少量量的电脑一台台来启入手工查杀不太事实。而经常使用了恢复系统的个别用户，用我的“打狗棒法”即可根除这条恶狗。Step1：因为“关门放狗”病毒从网高低载了少量的木马，这些木马的危害结果各不相反，有些会破坏电脑的安保形式，并暗藏受包全文件，还有些会劫持杀毒软件，所以咱们首先关上“我的电脑”，选用“工具”菜单→“文件夹选项”，选用“检查”，敞开“暗藏受包全的操作系统文件”前的对钩，并在“暗藏文件和文件夹”项当选用“显示一切文件和文件夹”，而后单击“确定”。小揭示：假设安保形式也不可进入，则关上安保工具SREng，点击界面中的“修复安保形式”即可（图2）。Step2：删除系统盘根目录下的1.exe、2.exe、3.exe、4.exe四个病毒文件，以及系统统盘WINDOWS\Temp\目录下随机命名的TMP文件，某些文件在手工删除时会揭示“此文件正在经常使用不可删除，经常使用Unlocker就可以防止这种疑问。Step3：而后更新以后计算机中所用的杀毒软件到最新病毒库启动片面查杀，再用《360安捍卫士》配合AVG Anti-Virus肃清系统中残余的病毒即可。