这是一个伪装成视频文件的木马,当用户下载想双击打开播放时,文件消失,同时加载一个服务到系统中,每次电脑启动时都会运行,从而控制用户电脑。该木马加载的服务如下形式:
[winNTsyscpls / windowssysCPL]
<C:\Program Files\Common Files\Microsoft Shared\MSINFO\mshtsys.exe>
服务名称:windowssysCPL,假冒系统服务,甚至还有“winNT控制面板管理”的提示文字混淆视线。
要清除此木马,首先要删除此服务,可以使用SREng或其它工具软件,最简单的方法是从系统服务中禁用它(右击我的电脑-管理-本地服务和应用程序-服务,找到winNTsyscpls,右击-属性-把启动类型改成“已禁用”,重启。当然此法仍残留在注册表中,只是禁用而已,并未删除)。然后删除文件C:\Program Files\Common Files\Microsoft Shared\MSINFO\mshtsys.exe。
如果木马文件已经被杀毒软件删除或其它原因清除了,也要将服务项处理掉,至少要改成“禁用”状态,否则每次启动时还是会加载(当然找不到文件),遇到比较执着的监控工具,如360安全卫士就会不断提示,很烦人的。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/526.html
