防盗手册--svhost32.exe ztdll.dll 征途木马解决方案
作者:单干王
2006-11-13
ztdll.dll是现在最流行的一种征途盗号木马,本人的号被盗过2次,全是拜它所赐!这个木马的情况一般是这样的,机器启动,卡巴提示发现ZTDLL.DLL木马,试图将其删除,删除失败!启动到安全模式下,用卡巴可以将其成功杀死,但是重启后ZTDLL依然存在!这说明木马的源头并未找到,源头会在每次开机时自动释放ZT木马!接下来我就把成功查杀此病毒的方法,帖上去!!!!
svhost32.exe ztdll.dll 征途木马解决方案
档案编号:CISRT2006017
病毒名称:Trojan-PSW.Win32.Lineage.acw(AVP)
病毒别名:
病毒大小:67,127 字节
加壳方式:SVKP
样本MD5:4cb93e90bbc667724f81fb0e1a9cf1ad
发现时间:2006.7.24
更新时间:2006.7.25
关联病毒:Worm.Win32.Viking.r
Trojan.Win32.Delf.rf
Trojan-PSW.Win32.Delf.fz
Trojan-PSW.Win32.Lineage.acw
传播方式:通过恶意网站、其它病毒下载等途径传播
技术分析
==========
Viking.r下载的木马之一,一个征途木马。
下载下来的文件是2Sy.exe,运行后复制自身到:
%ProgramFiles%\svhost32.exe
释放%System%\ztdll.dll插入Explorer.exe进程。
创建自启动项:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%ProgramFiles%\svhost32.exe"
清除步骤
==========
1. 结束病毒进程%ProgramFiles%\svhost32.exe
2. 删除病毒文件:
%ProgramFiles%\svhost32.exe
3. 删除病毒建立的自启动项:
CODE:[Copy to clipboard][HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%ProgramFiles%\svhost32.exe"
4. 重新启动计算机
5. 删除病毒文件:
%System%\ztdll.dll
成功查杀ZTDLL.DLL
