+设为首页 +添加到收藏夹
我搞了好多天都不能搞定密码大盗.它不在注册表的run选项.在windows2000的进程里也发现不了.......
真是奇怪,WINDOWS密码大盗应是一种黑客软件,但是为什么我们的杀毒软件却发现不了它.
请问它安装在哪里?是怎样启动的?? 大家能不能讨论一下.....
附: 密码大盗下载地址: http://www.ttian.net/download/show.php?id=341
他安装后为:system32/WinGina32.dll
注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL
还有一个selfbat.bat,不过马上自动删除了,不知道是干什么的。
这算不上黑客程序,又得先运行又得重启的。至于查杀不了,可能是新版的刚出来,危害又不大。
手工清除较困难,研究中~~~
WinGina32.dll是作为winlogin的一个模块存在的,如果杀掉winlogin进程,系统自动重启~~。
如果不启动这个系统删除WinGina32.dll,系统就启动不了了,刚才我就差点中招,幸亏先做了个备份。
windows2000的进程里不可能会发现不了的~:)
你没认真看罢了~
看到Winnt下有个SysService.exe的WindowsMediaPlayer图标的exe了吗?
system32下里有个RegisterService.exe,WinGina32.dll也是,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon,右面有个GinaDLL,
任务管理器里,有SysService.exe服务等~禁用它们~如果是系统进程~你禁用不了的~
还有个SysAgent.exe,跟SysService.exe一样~WindowsMediaPlayer图标,在system32下~
:)
这种问题多花一点时间,就可以搞定了
应用程序的BUG,估计只有作者才知道
你解决花的时间,还不如重装
我试了一下~发现了上面几处~
SysAgent.exe
SysService.exe
在我的计算机上没有呀,你装的是那个版本的?是最新的2.1版吗?
to:littlethree(外行人)
你的帖子是不是发错地方了?我怎么看不懂?
晕倒,清除的办法异常简单,直接从注册表中删除那项就行,然后重启,再删除那个dll。
我原以为作者肯定会检测注册表,修复被删除注册表项,没想到居然没有检测~~,不知出于何种目的。
如果他加上注册表检测的话,难了,只能通过故障控制台再加上reg.exe来修复了。
我的有那东西~
就是按你给的网址下的~
我不是帖主。
不过真的很奇怪,我这里没有那两个文件。只有那个dll
新欢乐时光病毒"VBS.KJ"的危害与清除
病毒感染过程介绍
VBS.KJ 是一个感染 html/htm、jsp、vbs、php、asp 的脚本类病毒。和欢
乐时光“VBS.HappyTime”一样,该病毒采用 VBScript语言编写,在互联网上
通过电子邮件进行传播,也可以通过文件感染;感染后的机器系统资源被大量
消耗,速度变慢;利用 Windows 系统的“资源管理器”进行寄生与感染。
然而,与欢乐时光相比,VBS.KJ 病毒显然经过改进。首先,每次感染都会
进行一次变形,可以逃过普通的特征码匹配查找方法;其次,该病毒不会主动
发送电子邮件!而是修改系统中Microsoft Outlook Express、Microsoft
Outlook 2000/XP 的设置,采用 html 格式的信纸来撰写邮件,病毒感染全部
信纸!当发送邮件时病毒会附在邮件中,隐蔽性更强!第三,会感染html/htm
、jsp、vbs、php、asp 等格式的文件,不会删除系统文件。
病毒生成和修改的文件
1、在每个检查到的文件夹下生成 desktop.ini 和 folder.htt 文件(这两
个文件控制了文件夹在资源管理器中的显示视力)。
2、在 %Windows%\web 和 %Windows%System32 中生成 kjwall.gif。
3、在 Windows 9X 系统中,生成 %Windows%\System\Kernel.dll 文件;
在 Windows 2000/XP 中生成 %Windows%\System\Kernel32.dll文件。
4、感染 htt 文件,将病毒附加在其中;感染 html/htm、jsp、vbs、php
、asp,用病毒替换其内容。
注册表的修改
1、在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
增加 Kernel32键值,使病毒随系统启动;
2、修改 HKEY_CLASSES_ROOT\dllFile\,改变 dll 文件的打开方式;
3、修改 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\Compose
Use Stationery"为 1,即采用信纸; 修改 HKEY_CURRENT_USER\Identities\"
& UserId & "\Software\Microsoft\OutlookExpress\" &OEVersion &
"\Mail\Stationery Name" 指向信纸文件;
4、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail 相关内容,使Outlook 2000 采用信纸来撰写邮件;
5、修改
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
相关内容,使Outlook XP 采用信纸撰写邮件;
病毒感染的标志
1、在注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ 下
存在Kernel32 键值,并指向 Kernel.dll 或者 Kernel32.dll 文件;
2、系统中大量存在 desktop.ini 和 folder.htt;
3、在 system 目录下存在 kjwall.gif 文件;
手工清除(难度较大,建议采用杀毒软件杀毒)
1、打开注册表,删除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kern
el32键值;
参照其他机器,恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值;
参照其他机器,恢复 HKEY_CURRENT_USER\Identities\" & UserID &
"\Software\Microsoft\OutlookExpress\" & OEVersion& "\Mail\ 下相关键
值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\
下相关键值;
参照其他机器,恢复
HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail
\下相关键值;
2、删除文件(建议在 DOS 状态下或者使用第三方文件管理系统,如 Win
Commander 等)
参照其他机器,恢复 %Windows%\web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码;
(摘自金山反病毒资讯网) (2002年5月17日)
用REGSHOT~
去下载一个瑞星14。12版本可以杀掉!!!
我用的是filemon监视文件,没监视注册表,找到文件再在注册表里搜。
谢谢大家了,我配置这个服务整整一天。
当时学这点的时候,我在睡觉……所以什么都没有学到。
