清除“肉鸡猎人”病毒

病毒名称：Win32.Troj.Dowmloader.vb.81920

中文名称：肉鸡猎人

病毒类型：木马下载器

病毒目的：下载其他病毒

输入法莫名失效

我最近点击了网友发来的一个链接，没过多久系统桌面突然莫名其妙地消失了。好在QQ还可以调用，我想让QQ上的朋友远程协助帮我一下，结果发现输入法不能使用了。后来我用了最后一招——手工加载桌面进程，结果失败了，不得不重启电脑，系统桌面还是无法显示。请问，我的系统是不是中了什么病毒？

让用户电脑成为“肉鸡”

我的名字叫“肉鸡猎人”，我可以感染系统，将用户的电脑变成一台由我控制的“肉鸡”。我主要通过系统或软件漏洞，悄悄地潜入用户系统中作案。当我成功进入后，会在系统盘中释放出大量的文件，其中主文件SoundMan.exe隐藏在Windows目录中，由它来控制其他目录中的病毒文件。而隐藏在System32目录中的病毒文件，包括Interne.exe、Mann.exe、Notrpde.exe、Note2.Ini，都是为病毒主文件服务的。

由于系统很多设置都保存在注册表里，因此我接着就修改注册表的信息，让系统按照我的设置来运行；创建恶意服务，使我可以随系统启动。然后再以最快的速度完成对冰刃、木马克星、360安全卫士等安全工具的映像劫持，使得这些安全工具无法正常运行。

另外，我还会劫持系统的输入法模块和资源管理器，在劫持输入法模块后就不能调用输入法，这样用户就无法将系统的情况告知网友来获得帮助。除了映像劫持外，我还使用了其他的破坏方法。比如修改系统时间，让卡巴斯基大的防御功能失效；删除注册表中的杀毒软件启动项；搜索进程中是否含有金山、360安全卫士等的进程，如果发现这些进程就立即终止它们。

我还会建立一个新的系统帐户，设法获得全部用户组的管理权限，从而接管系统让用户很难操作电脑。然后我就会连接到指定的远程地址，下载大量盗号木马到用户电脑中运行，把用户系统中的各种账号和密码偷个一干二净。

偷完东西后我并不会就此罢手，我还要将电脑变成一台“肉鸡”。我会访问一个特殊网址来获取系统当前的外网IP地址。接着下载扫描器Qoq.exe到System32目录下，通过刚才获得的外网IP地址来扫描整个C网段开放135端口的主机，如果发现就将它们记录到Por.aed文件中。

在下载扫描器的时候，我还同时下载一个破解工具Popo.exe。通过Popo.exe读取Por.aed文件，从而对开放有135端口的远程系统进行账号和密码的破解。如果破解成功的话，那么这些远程系统将变成任由黑客控制的“肉鸡”。如果中毒电脑位于局域网中，我还会将自己传染到其他正常的电脑上，进一步扩大自己的传染范围。

粉碎病毒主文件

“肉鸡猎人”病毒危害性很高，破坏力很大，我们要及时清除。

第一步：运行金山清理专家文件粉碎器，点击窗口中的“添加文件”按钮，选择系统中的Interne.exe、Mann.exe、Notrpde.exe等病毒主文件，点击“彻底删除”按钮就可以将它们从系统中彻底清除。需要特别说明的是，文件选择一定要慎重，如果被错误删除的话，就无法再恢复了。

第二步：重启电脑，然后运行进程管理工具Wsyscheck，点击窗口中的“服务管理”标签，选择列表中的Pangu888和Helpsvc服务，选择右键菜单中的“删除选中的服务”即可。接着点击“安全检查”标签中大的“活动文件”，选中其中的SoundMan项删除即可。

第三步：由于该病毒下载了很多其他病毒，因此最好马上升级系统中的杀毒软件的病毒库。然后利用杀毒软件对整个磁盘节能型扫描，从而快速清除系统中的其他病毒。

PS：文中所涉及到的软件本站暂不提供，请自行下载安装。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-06-23 20:21:03,点击:65824