北京信息安全测评中心、金山毒霸
联合发布2004年03月26日热门病毒
据金山毒霸反病毒实验室介绍,今日提醒用户注意以下病毒:
“Win32.Troj.Tonerok”木马病毒。驻留内存收集系统信息,并定时发送到指定的SMTP服务器上。这是一个有风险的木马,会造成泄密。以下是病毒详情:
病毒信息:
病毒名称: Win32.Troj.Tonerok
威胁级别: 1B
病毒类型: 木马
病毒别名: PWSteal.Tarno.B [NAV]
受影响系统: Win95/Win98/WinMe/WinNT/Win2000/Win2003
能处理的毒霸版本: 2004.03.26
技术特点:
· 破坏方法: A、收集系统信息存放于文件 %System%\Sysini.ini
中;
B、定时将文件 %System%\Sysini.ini 以邮件发送至某个指定的SMTP服务器。
· 技术特点:
A、将病毒自身拷贝到 %SystemRoot%\svchost.exe
B、生成文件 %SystemRoot%\msto32.dll
C、生成文件 %SystemRoot%\Sysini.ini
D、生成文件 %System%\wingua.exe
E、在注册表的如下位置
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加值 "Online Service"="%SystemRoot%\svchost.exe"
以便病毒在系统启动时执行。
解决方案:
· 金山毒霸已经于3月26日对该病毒进行了应急处理,请升级最新版可完全查该病毒;
· 请不要轻易点击陌生人邮件以及下载和运行所带附件,在运行可疑附件前最好先用毒霸扫描;
·
手工清除:
首先,对于WinMe系统,请先关闭“系统还原功能”
(毒霸论坛:反病毒可能需要用到的方法及操作 > 如何禁用Win
Me/XP的“系统还原”功能)
对于系统是Windows9x,WindowsMe:
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为
C:\windows),分别输入以下命令,以便删除病毒程序:
C:\windows\>del svchost.exe
C:\windows\>del msto32.dll
C:\windows\>del Sysini.ini
C:\windows\>cd system
C:\windows\system\>del wingua.exe
完毕后,取出系统软盘,重新引导到Windows系统。
如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion>Run
在右边的面板中, 找到并删除如下项目:
"Online Service"="%SystemRoot%\svchost.exe"
关闭注册表编辑器。
|
对于系统是Windows NT, Windows 2000, Windows XP, Windows 2003 Sever:
步骤一,重新启动电脑进入安全模式;
步骤二,查找并删除病毒程序
通过“我的电脑”或“资源管理器”,
进入系统目录(Winnt或windows),
找到文件“svchost.exe”、“msto32.dll”、“Sysini.ini”,将它删除;
再进入system32目录,找到文件“wingua.exe”,将它删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
在左边的面板中, 双击(按箭头顺序查找,找到后双击):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
在右边的面板中, 找到并删除如下项目:
"Online Service"="%SystemRoot%\svchost.exe"
关闭注册表编辑器.
|
|
告诉您的位置:
