你們都以為UPS工作室掛是好東西嗎,那你們就錯了,那個外掛的啟動文件,也就是注冊文件,裡面的函數是一種可變異病毒的執行命令,只要你導入了注冊表,病毒就會隨著電腦啟動15后而啟動,並在90秒后屏蔽掉系統裡面所有殺毒軟件的木馬檢測功能!
你們可以自己到注冊表去查看 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows 此項目中是否存在以下幾項數值:
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
如果存在的,那很好,恭喜你,你已經中毒了!
這幾項的含義是:病毒能在系統啟動后15秒自動啟動,并卻自動變更名字,在90秒后屏蔽相關殺毒軟件關於惡意代碼以及木馬檢測的項目!
最後說一句,不要以為什麽G都是好東西,都用用自己的腦子想想!
解决办法:
首先解释一下为什么说UPS不是什么好东西
大家看看注册表里面HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows里面
的AppInit_DLLs的值被改为了UPS,
在这说明一下"AppInit_DLLs”:
注册表的系统设置项“AppInit_DLLs”可以为任一个进程调用一个dll列表
早期的进程插入式木马的伎俩,通过修改注册表中的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]
来达到插入进程的目的。缺点是不实时,修改注册表后需要重新启动才能完成进程插入。
如求职信病毒。利用注册表启动,就是让系统执行DllMain来达到启动木马的目的。
因为它是kernel调入的,对这个DLL的稳定性有很大要求,稍有错误就会导致系统崩溃,
所以很少看到这种木马。
按照我以下的方法修改就可以了,首先看下面的图:点AppInit_DLLs右键修改为kmon.dll
在这解释一下kmon.dll:它是防止U盘自动打开,并向U盘自动写入免疫文件Autorun.inf ,防止U盘病毒自动传播的。该免疫文件为名为Autorun.inf的空文件夹。由于该功能有自动写入行为,具有一般病毒特征。所以很多杀软都将其列为疑似病毒。(大家可以去百度查一下就知道了)
然后看下面的图,把多余的都删掉!
最后依次删掉一下注册表:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\UPS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\UPS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\UPS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System\UPS
这样就可以了!
觉得好就顶一个吧,用不用还是看你们自己!
[ 此贴被653092329在2008-09-25 22:58重新编辑 ]
