最近有种叫Trojan-PSW.Win32.onlinegames.*******(不管后边的是什么,大部分都是变种)这个
病毒挺多的。好多都是最新的变种,连google上都没有记载,所以一旦你问“中了Trojan-PSW.Win32.onlinegames.*******怎么办?”或是"Trojan-PSW.Win32.onlinegames.*******怎么杀?"等等......这到把想帮助你的人给问住了,是啊,怎么办。google上都没有描述,你说该怎么办。
我再来强调一遍sreng的用法。
启动项目:这是你检查
系统第一要看的地方,一般AppInit_DLLs这一项是空的,如果你打开启动项目的时候,显示了一个警告,说这一项被改了,你一定要仔细的看下是什么
文件,以及它的路径,这对后边杀毒是很有帮助的。其它的项主要是你杀过毒后在这里删除掉病毒的启动项。
系统修复:用的最多的是文件关联、
浏览器加载项、HOSTS文件这三个,其它的基本不用。文件关联,文件关联就是将一种类型的文件与一个可以打开它的
程序建立起一种依存关系。所以经常有病毒修改文件关联,只要点击要修复的几个,修复就行了。
浏览器加载项,如果你知道那些是劫持ie的恶意
软件,在这里删除掉就行了。host:这个文件是根据TCP/IP for Windows 的标准来工作的,它的作用是包含IP地址和Host name?主机名 的映射关系,是一个映射IP地址和Host name?主机名 的规定,规定要求每段只能包括一个映射关系,IP地址要放在每段的最前面,空格后再写上映射的Host name?主机名 。对于这段的映射说明用“#”分割后用文字说明。 我们知道在
网络上访问网站,要首先通过dns
服务器把
网络域名(
http://www.163.com)解析成61.xxx.xxx.xxx的ip地址后,我们的
计算机才能访问。要是对于每个域名请求我们都要等待域名服务器解析后返回ip信息,这样访问网络的效率就会降低,而hosts文件就能提高解析效率。根据
windows系统规定,在进行dns请求以前,
windows系统会先检查自己的hosts文件中是否有这个地址映射关系,如果有则调用这个ip地址映射,如果没有再向已知的dns服务器提出域名解析。也就是说hosts的请求级别比dns高。所以有些病毒是会修改我们的host文件的,指向一些病毒木马
下载站。在这里点击下边红色的重置就ok了。
智能扫描:如果你的问题大家说的方法都不能解决的话,请来这里,非常简单又有效的方法,扫描日志。在扫描之前一定选中检查进程模块的数字签名,然后扫描,最后保存日志。打开你的日志 全选 复制 粘贴上
论坛,等着别人给你分析,然后告诉你怎么做,照着做就行。
下面我来说说Trojan-PSW.Win32.onlinegames.*******这类病毒的特征和一些解决办法。
病毒名称: Trojan-PSW.Win32.OnLineGames.
病毒类型: 木马
感染系统: windows98以上版本
开发工具: Borland Delphi 5.0
加壳类型: 无
病毒描述:
该病毒属木马类,病毒运行后衍生病毒文件,修改注册表,添加启动项,以达到随机启动的目的,该病毒盗用户敏感信息,包括网络
游戏的账号与
密码等。
行为分析:
1、病毒运行后衍生病毒文件:
C:WINDOWS\system32\dt.dll 其中dt.dll由rundll32.exe释放
C:WINDOWS\
Microsoftundll32.exe
C:program files\internet explorer\use6.dll
各个分区(除C盘以外)根目录下:Autorun.inf及mplay.com
2、修改C:WINDOWS\system32\drivers\etc\hosts
3、修改注册表,添加启动项,以达到随机启动的目的:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<Micro><C:WINDOWSMicrosoft
undll32.exe>
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
<main><rundll32.exe "C:program filesinternet exploreruse6.dll" mymain>
4、该病毒盗得用户敏感信息,包括网络游戏的账号与密码等:
病毒文件Microsoft
