清除“红心大盗”病毒

病毒名称： win32.troj.redheartpic.ea.1145553
中文名称：红心大盗
病毒类型：图片木马
威胁危害：严重

LOGO病人：换用红心图头像却中毒

　　不久前互联网上相继发起了“爱国红心”行动，网友们普遍都把自己的QQ头像换成了爱国红心，我也从一个网站上下载了红心图片换了QQ头像，不过没过多久，就发现我电脑里的杀毒软件、360安全卫士以及QQ医生都无法使用了，QQ密码也被盗了。

　　我向朋友求助，得知我可能中了红心大盗——一个图片木马，听说这款木马是最近才在互联网上泛滥起来的，利用红心国旗图加载木马在网页上传播，危害范围非常大。请问医生，我应该怎么彻底清除红心大盗病毒？

LOGO病毒：伪装成红心入侵电脑

　　最近我看到红心很受欢迎，心很痒，研究半天后终于成功伪装成红心图片。只要用户拷贝加了“料”的红心国旗图时，我就会随之隐藏运行，接下来将自身复制到被感染计算机系统时在，将病毒文件Uninsep.bat.pro.exe和Pro.dll释放到系统盘的根目录下，同时替换Kernel32.dll文件。

　　然后，我会迅速查找电脑中是否安装有安全软件，大刀阔斧将它们映像劫持。像常用的金山毒霸、卡巴斯基、360安全卫士、QQ医生、瑞星、诺顿等常见安全软件，都在我的“贵宾”列表中。

　　这还不够，我还会在系统盘的“Documents and Settings\All Users\「开始」菜单\程序\启动\”文件夹下生成病毒主文件的副本probell.exe。然后利用8088端口自动连接黑客服务器，修改系统注册表，创建名为“Scager”的系统服务，实现开机自动启动。

　　除此以外，我还有一件“隐身衣”——自我删除功能，当它穿起它运行完毕后，就会将代码删除，只剩一个正常图片，任用户千查万找也看不到我的踪影。上面这些工作只是前期工作，后面执行的这些才是我的工作目标，我会悄悄在后台秘密记录用户的键盘操作和鼠标操作，窃取用户输入的机密信息，并发送给黑客。

LOGO 医生： 重新拷贝Kernel32.dll文件

　　此病毒利用广大民众的爱心作恶，实在可恨，现在我就带领大家一起来清除该病毒。

　　第一步：重启后按F8进入到安全模式下，利用搜索找到probell.exe和Pro.dll文件，将之删除。然后用Windows XP安装光盘启动电脑，按“R”键进入启动故障恢复平台，利用“Windows故障恢复控制台”从安装盘提取一个新的Kernel32.dll文件。

　　第二步：在“Windows故障恢复控制台”中，使用以下命令修复（F盘为光驱目录，根据实际情况指定）：

Cd system32
Ren kernel32.dll kernel32dl
Expand f:\i386\kernel32.dl-
exit

　　第三步：将“Documents and Settings\All Users\「开始」菜单\程序\启动\”里面的probell.exe程序删除。最后以系统管理员身份登录系统后，单击“开始→运行”，输入“Msconfig”回车后即可启动“系统配置实用程序”，在“服务”里去掉Scager服务的钩，将它停止。

　　第四步：利用网络防火墙过滤8088端口访问外网。这里以McAfee为例，打开控制台后双击“访问保护”，在弹出的“访问保护属性”中单击“添加”，然后设置端口为“8088”以及方向为“出站”，确定即可。查杀完病毒后，最好再利用杀毒软件再查杀下系统中的远程木马，以保证系统更安全。

　　小知识：Kernel32.dll是Windows壳进程，属于内核级文件，它控制着系统的内存管理、数据的输入输出操作和中断处理。

声明：欢迎各大网站转载本站文章，还请保留一条能直接指向本站的超级链接，谢谢！

时间:2008-06-06 22:48:49,点击:65824