近期很多网友发帖求助,说中了梦幻西游盗号木马变种WS.此木马会盗取网络游戏《梦幻西游》的账号信息,并下载其它病毒至受害电脑上运行。
360于3月29日下午及时更新了木马特征库.现在可以查杀掉病毒的主程序 。
证据一、升级后的360扫描,可以删除病毒主体,木马无法加载启动.(此为注册表中的残留)
证据二、全盘搜索,在文件中找不到mxcdcsrv16_080327.dll和 LYLoad??.exe(??表示随机字母)等文件,证明病毒主体被删除。
但是无论用360还是手工都无法清除掉注册表中的键值,这是网友们发帖求助的主要原因.
1、我们先来看看该木马在注册表中加载了哪些启动项。
[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
DXDLG32=DXDLG.exe
MSDWG32=LYLoadbr.exe
MSDCG32 =LYLeador.exe
MSDOG32=LYLoador.exe
MSDSG32=LYLoadar.exe
MSDMG32=LYLoadmr.exe
MSDHG32=LYLoadhr.exe
MSDQG32=LYLoadqr.exe
zsmstc=rundll32.exe C:\\WINDOWS\\system32\\mxcdcsrv16_080327.dll start
2、既然木马已经被杀掉了,注册表中木马启动项为什么删除不掉呢。
(1)该木马会在[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]中加入everyone组的完全控制,删除adminstrators管理员组的权限。
(2)在MMC %SystemRoot%\\system32\\compmgmt.msc /s 中,本地用户和组没有发现everyone组或成员
(3)用360和瑞星木马扫描,都存在不能删除的木马启动项目(因为注册表项目被禁止删除)
3、了解了这些我们就可以很容易的清除掉木马留在注册表中的启动键值。
方法一
补充:开始-》“运行”框中输入 gpupdate /force -》确认
使用360再次查杀
请反馈此方法,谢谢!
方法二:
开始-》“运行”框中输入regedit,打开这几个启动项所在注册表中的位置[[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run],选中注册表左边的Run,点击“编辑”菜单,选中“权限”,点击“权限”菜单中的“高级”选项,点击“所有者”,将“所有者”更改为Administrators并把“替换子容器及对象所有者”点上勾就可以了(本来的“所有者”是everyone)。更改完毕,你就可以自己删掉这些注册表项目了。
方法三:
(1)、下载安全软件阻剑或是冰刃(此处所说的是阻剑),打开主程序--点快捷菜单--点暂时锁定系统.找到以下自启动项,右键选择清除启动项.(不要选择删除文件。因为木马主程序已经被删除掉了)
(2)、点快捷菜单--强制系统重启(十秒中倒计时)
(3)、重新启动后,就能删除注册表的木马留下的启动项键值.
您的位置: