破坏王盗号器致使系统断网不能复制
十一月 15, 2008
该毒采用消息拦截的方式来盗取QQ游戏的帐号和密码,它在释放出子文件后,就会建立钩子,拦截用户输入的帐号信息。
病毒子文件gdipro.dll、rpcss.dll、sys17002.dll会被释放到%WINDOWS%\SYSTEM32\目录下,并写入注册表启动项,实现开机自 启动。其中gdipro.dll和rpcss.dll会被用于替换掉系统自身一个名为rpcss.dll的文件及其备份,使得病毒能够躲避系统安全模块和 安全软件的查杀。但也正因如此,当查杀该毒时,系统就可能因失去rpcss.dll文件而运行异常,比如网络中断、无法粘贴文档等。
而sys17002.dll则负责盗取帐号信息,盗取成功后就将赃物加密发送到病毒作者指定的地址。
用户如果进行手动查杀,需要将上述几个文件全部删除,然后将系统文件“C:\WINDOWS\system32\srpcss.dll”改名为“C:\WINDOWS\system32\rpcss.dll”,以恢复系统自身功能。同时,需对注册表做以下两项修改:
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\ObjectName”改为“NTAUTHORITY\NetworkService”。
将“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rpcss\Parameters\ServiceDll”改为“%SystemRoot%\system32\rpcss.dll”
完成以上步骤后,重启电脑,然后利用杀毒软件全盘查杀一次,系统就可以完全恢复正常了。
如果以上操作无效,可以参考爱毒霸社区版主vistalong的文章:HBkernel系列病毒(蝗虫军团)病毒的总结尝试恢复系统文件。
Text Area #1
This is an area on your website where you can add text. This will serve as an informative location on your website, where you can talk about your site.
Continue reading »
Text Area #2
To edit these text areas, go to Presentation / Theme Editor, then click on Right Sidebar file.
Continue reading »
Text Area #3
This is an area on your website where you can add text, like contact numbers, office hours, customer testimonials and quotes, special discounts and more.
Continue reading »
