新安装的系统,U盘没有接过,只有去瑞星网站下载杀毒软件、防火墙和卡卡助手。之后去了微软网站下载安装补丁。
卡卡助手发现并清除“系统幽灵”,但系统重启时, 无法进入桌面。按CTRL+ALT+DEL,点注销, 系统正常进入, 同时木马没有再发现。
估计是系统软件或初始安装软件带病毒。
木马病毒(流氓软件)“系统幽灵”简要介绍
名称:系统幽灵
系统幽灵行为追踪
“系统幽灵”运行后可将自己拷贝到%ProgramFiles%Common Files23OSA.EXE中,并释放3OFFICE.dll、23MsOffTDI.sys、23AnRegProt.sys等3个病毒文件,之后添加一个快捷方式到C: Documents and SettingsAll Users开始菜单程序启动Microsoft Office 23.lnk,使病毒能随 Windows启动。
系统幽灵的危害
- 破坏系统安全模式。删除安全模式的注册表键值,使用户无法进入安全模式,即使强行进入,也会导致系统蓝屏崩溃。
- 阻止IceSwrod启动。阻止版本号为1.18与1.20的IceSwrod驱动文件释放,使这两个版本的IceSwrod无法启动。
- 下载大量广告程序与病毒文件。开启一个IE进程,读取网址http://t1.*******.net/jw/ini/rules.ini上的内容,并从该址下载广告程序和病毒文件。
建议
- 网络下载并安装某些小软件的过程中,一定要仔细阅读每一步的安装说明,以防流氓软件捆绑传播。
- 不登陆一些不知名的小网站,以免流氓软件利用网页进行传播。
- 安装正版杀毒软件或流氓软件专杀工具,并进行实时升级。
背景知识:木马病毒特征
1、包含在正常程序中
包含在正常程序中,当用户执行正常程序时,启动自身,在用户难以察觉的情况下,完成一些危害用户的操作,具有隐蔽性。
由于木马所从事的是 "地下工作",因此它必须隐藏起来,它会想尽一切办法不让你发现它。很多人对木马和远程控制软件有点分不清,还是让我们举个例子来说吧。我们进行局域网间通讯的常用软件PCanywhere大家一定不陌生吧?我们都知道它是一款远程控制软件。PCanywhere比在服务器端运行时,客户端与服务器端连接成功后,客户端机上会出现很醒目的提示标志;而木马类的软件的服务器端在运行的时候应用各种手段隐藏自己,不可能出现任何明显的标志。木马开发者早就想到了可能暴露木马踪迹的问题,把它们隐藏起来了。例如大家所熟悉木马修改注册表和而文件以便机器在下一次启动后仍能载入木马程式,它不是自己生成一个启动程序,而是依附在其他程序之中。有些木马把服务器端和正常程序绑定成一个程序的软件,叫做exe-binder绑定程序,可以让人在使用绑定的程序时,木马也入侵了系统。甚至有个别木马程序能把它自身的exe文件和服务端的图片文件绑定,在你看图片的时候,木马便侵人了你的系统。
它的隐蔽性主要体现在以下两个方面:
(1) 不产生图标
木马虽然在你系统启动时会自动运行,但它不会在 "任务栏"中产生一个图标,这是容易理解的,不然的话,你看到任务栏中出现一个来历不明的图标,你不起疑心才怪呢!
(2) 木马程序自动在任务管理器中隐藏,并以"系统服务"的方式欺骗操作系统。
2、具有自动运行性
木马为了控制服务端。它必须在系统启动时即跟随启动,所以它必须潜人在你的启动配置文件中,如win.ini、system.ini、winstart.bat以及启动组等文件之中。
3、包含具有未公开并且可能产生危险后果的功能的程序
4、具备自动恢复功能
现在很多的木马程序中的功能模块巴不再由单一的文件组成,而是具有多重备份,可以相互恢复。当你删除了其中的一个,以为万事大吉又运行了其他程序的时候,谁知它又悄然出现。像幽灵一样,防不胜防。
5、能自动打开特别的端口
木马程序潜人你的电脑之中的目的主要不是为了破坏你的系统,而是为了获取你的系统中有用的信息,当你上网时能与远端客户进行通讯,这样木马程序就会用服务器客户端的通讯手段把信息告诉黑客们,以便黑客们控制你的机器,或实施进一步的入侵企图。你知道你的电脑有多少个端口?不知道吧?告诉你别吓着:根据 TCP/IP协议,每台电脑可以有256乘以256个端口,也即从0到65535号 "门",但我们常用的只有少数几个,木马经常利用我们不大用的这些端口进行连接,大开方便之 "门"。
6、功能的特殊性
通常的木马功能都是十分特殊的,除了普通的文件操作以外,还有些木马具有搜索cache中的口令、设置口令、扫描目标机器人的IP地址、进行键盘记录、远程注册表的操作以及锁定鼠标等功能。上面所讲的远程控制软件当然不会有这些功能,毕竟远程控制软件是用来控制远程机器,方便自己操作而已,而不是用来黑对方的机器的。