Board logo

标题: [转载] 警惕马瑞恩盗号者木马 [打印本页]
作者: hao123    时间: 2007-5-17 15:34     标题: 警惕马瑞恩盗号者木马

转帖:警惕马瑞恩盗号者木马
  
     Trojan-PSW.Win32.Maran.cj病毒运行后,衍生病毒文件到系统目录下。修改用户 LSP项以实现病毒启动。病毒体注入系统进程中获取用户敏感信息发往指定页面。
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
    (1) 使用安天木马防线断开网络,结束病毒进程:
       %WinDir%\svchost.exe
    (2) 删除并恢复病毒添加与修改的注册表键值:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
       Services\WinSock2\Parameters\Protocol_Catalog9\
       Catalog_Entries\000000000013\PackedCatalogItem
       Value: Type: REG_BINARY Length: 888 (0x378) bytes
       %WINDOWS%\System32\tj7viewer.dll.
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
       Services\WinSock2\Parameters\Protocol_Catalog9\
       Catalog_Entries\000000000012\PackedCatalogItem
       Value: Type: REG_BINARY Length: 888 (0x378) bytes
       %SystemRoot%\system32\mswsock.dll
       恢复下列为旧值 :
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
       Services\WinSock2\Parameters\Protocol_Catalog9\
       Catalog_Entries\000000000001\PackedCatalogItem
       New: Type: REG_BINARY Length: 888 (0x378) bytes
       %WINDOWS\System32\tj7viewer.dll.
       Old: Type: REG_BINARY Length: 888 (0x378) bytes
       %SystemRoot%\system32\mswsock.dll.
    (3) 删除病毒释放文件:
       %WinDir%\ tl32v20.dll
       %WinDir%\svchost.exe
       %System32%\ tj7viewer.dll
相关链接请参见:http://www.antiy.com/security/report/20070516.htm



欢迎光临 黑色海岸线论坛 (http://bbs.thysea.com/) Powered by Discuz! 7.2