“网络猛男”木马病毒解决方案

　　据金山毒霸反病毒实验室介绍，提醒用户注意以下病毒："网络猛男"（Win32.Hack.PowerSpider.a），它是一个木马病毒，记录被攻击者的系统、应用程序的账号和密码，然后向木马作者自动发送邮件，在一个随机端口开设后门，使得攻击者可以远程控制这台机器。

　　病毒信息：

　　病毒名称:   Win32.Hack.PowerSpider.a
　　中文名称:   网络猛男
　　威胁级别:   2C
　　病毒类型:   木马
　　受影响系统:  Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

　　传染条件:

　　病毒伪装成有用的文件，引诱用户误运行。

　　发作现象:

　　在system下生成三个文件，然后记录被攻击者的账号和密码。

　　技术特点：

　　A、拷贝自身到%System%\Iexplorer.exe

　　B、生成%Systenm%\mspbhook.dll文件

　　C、向注册表添加键值：
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　"mssysint"="%System%\Iexplorer.exe"

　　D、添加
　　HKEY_CLASSES_ROOT\ZDns
　　HKEY_CLASSES_ROOT\ZPwd_box
　　作为感染标记

　　E、生成%System%\Mspbbase.dll文件，这是一个记录帐号密码的文件。

　　F、向木马作者自动发送邮件，内容是收集到帐号信息。

　　G、在一个随机端口开设后门，使得攻击者可以远程控制这台机器，包括：
　　嗅探各种登陆密码，MSN/ICQ/AOL密码等，
　　可以在被感染机器上安装卸载木马，
　　进行键盘记录，
　　停止或运行程序等，
　　下载和运行木马程序。

　　解决方案:

　　A、请使用金山毒霸2004年06月21日的病毒库可完全处理该病毒；

　　B、不要运行或打开陌生或可疑程序。

　　C、手工解决方案：
　　若系统为WinME或WinXP，则请先关闭系统还原功能。

　　对于系统是Win9x/WinMe
　　 步骤一，删除病毒主程序
　　 请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统安装目录（默认的系统安装目录为c:\windows\system32），输入以下命        令，以便删除病毒程序：

　　 C:\windows\system32>del Iexplorer.exe

　　 完毕后，取出系统软盘，重新引导到Windows系统。
　　 如果手中没有系统软件盘，可以在引导系统时按"F5"键也可进入纯DOS模式。

　　 步骤二，清除病毒在注册表里添加的项
　　 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　 在右边的面板中, 找到并删除如下项目：
　　 "mssysint"="%System%\Iexplorer.exe"

　　 关闭注册表编辑器.

　　 对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever
　　 步骤一，启动系统进入安全模式

　　 步骤二，查找并删除病毒程序
　　 通过"我的电脑"或"资源管理器"进入系统安装目录（c:\windows\system32），找到文件"Iexplorer.exe"，将它删除;

　　 步骤三，清除病毒在注册表里添加的项
　　 打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　 在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

　　 在右边的面板中, 找到并删除如下项目：
　　 "mssysint"="%System%\Iexplorer.exe"

　　请访问www.kingsoft.com 浏览相关信息安全信息。或致电反病毒热线010-82386868需求帮助。