傑哥教您如何清除征途木馬

現在木馬病毒的傳播方式越來越來隱蔽，讓不少用戶防不勝防。特別是針對某款網遊的盜號木馬，如果不加以控制，將給這款網遊帶來毀滅性災難。最近針對《征途》遊戲出了一款木馬，它的隱藏方式相當狡詐，非常難以發現。不過，對於這類劣跡斑斑的病毒，安全診所的 邵氏傑哥 醫生早已見怪不怪了。下面 傑哥團隊的創始人·邵氏傑哥 就幫史玉柱揪出這款針對《征途》遊戲的木馬。

GIF

征途木馬檔案

Svhost32.exe征途木馬可以盜取《征途》的密碼、其他遊戲密碼、IM工具密碼等等。感染病毒之後，會生成Svhost32.exe、Rundl132.exe進程、msccrt.exe進程等，這些迷惑性進程並不是木馬的核心，真正的主謀其實躲藏在陰暗處。該木馬的殺手鐧應該是插入到Explorer.exe進程的DLL文件。

Svhost32進程「出賣」征途木馬

今天安全診所迎來了一個就診者。從他咬牙切齒地敘述中，傑哥了解到小王對該病毒深惡痛絕。這也不奇怪，病毒盜取了他的征途遊戲的密碼，讓他損失不小。

盜取密碼的一般是木馬病毒，那麼到底是哪種木馬呢？從小王描述的病毒發作特徵中，傑哥發現病毒修改了IE的默認主頁為http://u4.sky99.cn/。

該木馬佔用了大量系統資源，使系統穩定性大大下降。在任務管理器的進程窗口出現了Svhost32.exe進程，疑似病毒進程，關閉之後重啟系統，仍然會出現。木馬佔用了網路帶寬向黑客發送密碼信息，而且把自己的線程插入了系統關鍵進程。

另外獲取用戶的密碼信息的方式也極其危險，極易導致系統崩潰。病毒還關閉了瑞星殺毒監控。通過小王的敘述，傑哥發現這個系統的情況和中Svhost32.exe征途木馬後的情況對上了號，因此，當即就開始診治起來。

去除木馬病毒的偽裝

由於Svhost32.exe征途木馬有一些沒有破壞性的偽裝文件，傑哥決定先去除這些垃圾文件。

打開了IceSword，傑哥很快便在其進程選項中發現了Svhost32.exe進程的文件是「C:WindowsDownloadSvhost32.exe」。

右鍵單擊該進程選擇「結束進程」命令即可，接著進入該目錄刪除該文件。同樣的，Rundl132.exe進程的文件是C:windowsrundl132.exe，結束進程後也刪除該文件。

同樣的，發現msccrt.exe進程的文件是C:windowsmsccrt.exe，結束進程後也刪除該文件。由於這些進程都能自啟動，打開System Repair Engineer來清除自啟動項目。打開程序後，選中「啟動項目」時彈出了兩次警告信息框，默認為空的註冊表值load被修改成了「C:windowsrundl132.exe」用以啟動載入rundl132.exe這個病毒進程。

清空load值來防止病毒自啟動。接著刪除值為「C:windowsDownloadsvhost32.exe」的啟動項目xy和值為「C:DOCUME~1ADMI NI~1LOCALS~1Te mpupxdn.exe」的啟動項目upxdn。

由於病毒試圖竄改UserInit項目來達到運行自己的目的，不過這次並未進行實質性修改，只是破壞了原來的值，因此把UserInit項目重新修改為正常的「C:windowssystem32Userinit.exe」（不包括引號）即可。

幕後主謀現身

傑哥清除完這些病毒文件，下面就是讓插入Explorer.exe進程的病毒文件現身了。打開了《超級巡警》，選擇「進程管理」選項，根據病毒發作時間很快便發現了位於「C:Program FilesCommon FilesMicrosoft Sha redMSINFO」的可疑文件xiaran.dat；位於「C:DOCUME~1ADMINI~1LOCALS~1Temp」的可疑文件upxdn.dll和位於「C:Windowssystem32」的可疑文件msccrt.dll。這些文件不但以黃色警告色顯示，而且文件屬性顯示創建時間都是病毒發作期

主謀就地正法

狡猾的主謀已經被發現了，下面就開始清除這些文件吧。裘醫生選中這些文件，右鍵單擊選擇「強制卸載標記模塊」命令，這樣這些文件就不能得到Explorer.exe進程的庇護了。

接著就可以進入這些文件的目錄逐個刪除了。完成之後，重新啟動計算機，未發現病毒進程，系統運行也穩定了。這說明病毒已經被成功清除了。

Svhost32.exe征途木馬，一般通過瀏覽惡意網站來傳播。因此，我們安裝殺毒軟體開啟網頁和文件實時防護功能，可以比較好地防範這類木馬。開啟下載軟體（如：迅雷、快車）的文件病毒監控也是必要的。

關注傑哥，了解更多！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！