说谎者之舞罗马音:一个杀不了的病毒,请大家看一下。
如果继续下去会有什么样的后果吗?另外问一下G_Sever.dll是什么文件?
根据您描述的状况,中了木马程式,名叫Trojan.Feutel,由e-mail附加档感染。
破坏性属於中等,目的在收集受感染PC个人资料、同时传送资料。
移除难度中等,部份感染档案必须手动移除。
以下讯息由Symantec英文网站
http://securityresponse.symantec ... /trojan.feutel.html
搜集而来,以供参考:
木马Trojan.Feutel发动后,执行下列动作:
1.在C:\Windows 或 C:\Winnt目录内产生G_Server.exe执行档。
2.在登录档以"Gray_Pigeon_Server"「灰鸽伺服器」名义,增加以下机码:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
GrayPigeonServer
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_GRAYPIGEONSERVER
因此,木马功能随视窗Windows启动。
3.增加以下机码值:
增加
"Completed" = "1"
到 the registry key:
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Connection Wizard
4.产生以下档案:
• %Windir%\G_Server.DLL
• %Windir%\G_ServerKey.DLL
• %Windir%\G_Server_Hook.DLL
根据木马启动程序次数也可能产生下列 .dll:
• %Windir%\G_Server_Hook[digit].DLL
5.自行删除原木马程式。
6.G_Server_Hook.DLL植入所有执行程序中,已确保木马持续运作。
7.隐藏於IE 运行之中, 并连接以下domains:
• www.75558889.com
• vip.huigezi.com
8.根据以上servers指示, 收集受感染PC个人资料、同时传送资料。
移除步骤:
1. 关掉「系统复原」功能(Windows Me/XP).
2.更新病毒码。
3.以安全模式开机。
4.完整扫瞄PC,删除受Trojan.Feutel. 感染档案。
预祝 成功。
并请告知情况,以利应变。
1.为何关掉「系统还原」功能?因为系统复原锁住部份系统执行程序,而这些程式已受到木马感染,防毒程式就无法删除Windows系统保护下的程序。矛盾吧!木马就是利用这个「以子之矛攻子之盾」方法,肆虐无阻。
2.安全模式下,防毒软体可以侦测、删除到受感染档案及程序。
3.如何关掉 XP 的 「系统还原」功能?
按照以下步骤,关闭「系统还原」:
a.滑鼠右键点按[我的电脑]——>出现[系统还原]浮动视窗。(见图1)
点按[系统还原]标签。
b.出现[系统还原]标签对话框:(见图2)
勾选V[关闭所有磁碟…还原]——>按右下角[套用],完成。
4, 完整扫瞄PC要在安全模式底下执行Norton Anti-Virus.
5.重覆一次。
A, 关掉「系统还原」功能
B. 拔掉网路接头,或关闭网路连接。
C.重新开机。注意以下进入安全摸式。
D.开机后,连续按[F8]键,直到选择功能画面出现。
E按安全模式。
F启动防毒程式,扫毒、解毒。
完成后请回报。
灰鸽子
木马