Trojan.PSW.SBoy.a解决方案.doc

Trojan.PSW.SBoy.a专杀Trojan.PSW.SBoy.a explorer.exe2007-03-05 21:47简要说明：正常的系统文件在系统文件的位置： c:windowsexplorer.exe (c:winntexplorer.exe) 该病毒利用了微软缺省系统路径执行文件的原理，若不明写路径执行某个文件时，系统会首先在 system32下查找，若没有，再在windows目录下查找这个病毒将自己放在system32目录下： c:windowssystem32explorer.exe(c:winntsystem32explorer.exe) 另外还生成一个类似批处理的文件： c:windowsexplorer.scf (c:winntexplorer.scf)，与真正的系统explorer.exe文件在一起，它的内容如下：ShellCommand=2IconFile=explorer.exe,1TaskbarCommand=Explorer这里注意注册表的文件关联，HKEY_CLASSES_ROOT.scf默认=SHCmdFileHKEY_CLASSES_ROOTSHCmdFileshellopencommand默认=explorer.exe (注释：这里没有写路径，优先执行c:windowssystem32下的explorer.exe病毒文件，病毒就是利用了这一点，该注册表键值不用修改，只是将 上面的 explorer.scf 文件删除即可)清除方法：1，首先结束该病毒的进程（注意与真正的系统进程区分，病毒进程占用内存比较少，大约4M）2，将上面橙色标记的文件和注册表键值删除即可。下面是补充的（2007.06.05）该病毒的行为动作：窃取 网络游戏的帐号及密码；利用网页漏洞以及U盘传播；释放自己到系统目录：c:windowssystem32explorer.exe , c:windowssystem32wsctf.exe修改注册表键值：HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit=userinit.exe,EXPLORER.EXE HKLM SoftwareMicrosoftWindowsCurrentVersionRun=窃取以下网络游戏的帐号：Warcraft IIICounter-Strike NFS Underground 2 梦幻西游ONLINE Crazy Arcade 梦幻国度O2-JAM 浩方对战平台PopKart Client 传奇世界客户端剑侠情缘网络版封神榜网络版YB_OnlineClient 问道legend of mir2 QQ幻想1.64 QQ幻想1.65 QQ幻想1.66 QQ幻想1.67 街头篮球三国策飞飞 (Fly for Fun) CTRacer Client 疯狂赛车引导程序Audition 刀剑Online 大话西游大话西游 II (revision 37230) 大话西游 II (revision 37231) 大话西游 II (revision 37232) QQGame每个硬盘以及移动硬盘的根目录下都会释放AutoRun.inf 文件，该文件内容如下：autorun OPEN=EXPLORER.EXE shellopen=打开(&O) shellopenCommand=EXPLORER.EXE shellopenDefault=1 shellexplore=资源管理器(&X) shellexploreCommand=EXPLORER.EXE综上所述：该liveMalware释放了以下文件：c:windowsexplorer.scfc:windowssystem32explorer.exe ,c:windowssystem32wsctf.exex:auturun.infx:explorer.exe修改注册表：HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit=userinit.exe,EXPLORER.EXE HKLM SoftwareMicrosoftWindowsCurrentVersionRun=HKEY_CLASSES_ROOT.scf默认=SHCmdFileHKEY_CLASSES_ROOTSHCmdFileshellopencommand默认=explorer.exe U盘中此病毒，瑞星2007杀毒能杀出，只是要重新启动才能杀，重启后杀毒照样还有，此病毒可以使U盘硬盘等不能双击打开，咨询某些资料说双击单击都能运行此病毒，最后在盘上产生autorun.inf文件，现在苦于杀不掉病毒，如果杀掉病毒后删除autorun文件就可以双击打开。再就是此盘根本不能被格式化也不能被删除分区，均说此判被写保护。升级你的瑞星就可以了,或手工去删掉所有autorun.inf和其中指向的文件。Trojan.PSW.SBoy.a专杀这个病毒也是autorun型病毒,利用USB设备等传播,在系统里制造假的EXPLORER.EXE.杀法:先进安全模式,然后删除system32里的EXPLORER.EXE和WSCTF.EXE,再在注册表的HKEY_LOCAL_MACHINESOFTWAREMICROSOFTMICROSOFTWINDOWSCURRENTVERSIONRUN和HKEY_USERSSOFTWAREMICROSOFTMICROSOFTWINDOWSCURRENTVERSIONRUN里找到EXPLORER.EXE和WSCTF.EXE删除 即可U盘中此病毒，瑞星2007杀毒能杀出，只是要重新启动才能杀，重启后杀毒照样还有，此病毒可以使U盘硬盘等不能双击打开，咨询某些资料说双击单击都能运行此病毒