病毒名称：Win32.Troj.Unknown.366080   中文名称：暗组远控  病毒类型：木马程序  威胁等级：中等  本期医生：痛并快乐着

　　定时关闭端口的Svchost.exe进程

　　最近我在论坛中看到网友推荐一款非常好看的播放器，就下载安装了，在安装时出现程序错误提示，当时以为无法安装就直接删除了。没过几天，我就在那个论坛上发现了我的一些私人照片。

　　我知道电脑中毒了，急忙通知我哥哥，他检测了我的系统后发现有一个Svchost.exe进程，不但在偷偷地进行数据传输，并且还定时关闭传输数据的端口。哥哥结束这个进程，没有想到出现60秒倒计时关机。请问医生，这个病毒应该怎么清除？

　　多重伪装巧隐藏

　　本人绰号“暗组远程控制2008”， 由于“十八般武艺”样样精通，成为黑客进行远程控制的利器，在“腥风血雨”的网络中占有一席之地，你的私人照片被盗，就是我的杰作。

　　我常常通过文件捆绑、邮件伪装等方式欺骗用户并植入系统。由于现在的杀毒软件都有主动防御功能，因此当我成功进入到用户系统以后，修改系统服务描述符表（主动防御就靠它起作用）让主动防御对我在系统中的操作“视而不见”。

　　接着，我释放一个DLL文件到系统中的System32目录里面，然后将木马本身销毁，将释放的DLL插入到Svchost.exe进程中，所以一结束Svchost.exe进程就会出现60秒倒计时关机。

　　为了可以随着系统自动启动，我还设置了一个对应的启动信息。我采用的方法和其他木马不同，它们往往通过新建的服务来进行启动，而我是对系统的BITS服务信息（BITS服务是Windows系统自带的服务之一，可以利用空闲网络带宽在后台传送文件）进行替换，这样除了可以方便隐藏也能轻松穿透防火墙的拦截。

　　除了隐藏功能不错外，我的控制功能也是相当的强，包括屏幕控制、视频控制、文件管理、键盘记录等常见的控制功能。利用视频控制可以打开远程的摄像头，从而捕捉到远程的视频信息；利用键盘记录功能可以记录远程系统的键盘操作，比如账号和密码的输入等。所以要盗你的私人照片并不困难！

　　手工清除“暗组远控”病毒

　　这个病毒很狡猾、很善于隐藏，要捉它要下一番功夫，仅靠杀毒软件是很难完整恢复系统的。手工查杀方法如下所示：

　　第一步：首先运行安全工具WSysCheck，点击“进程管理”标签后在进程列表中找到显示为粉红色的Svchost.exe进程。选中这个进程后会在窗口下方，看到一个名为12345.dll的DLL文件，选中它点击右键中的“卸载模块”命令（见图）。

　　第二步：接着点击程序的“服务管理”标签，从服务列表中找到红色的BITS服务。点击右键菜单中的“定位注册表项”命令，程序自动跳转到注册表管理标签。选择注册表中的ServiceDLL这项，点击右键中的“编辑值”命令，然后在弹出的窗口中将值恢复为系统默认的%SystemRoot%\System32\qmgr.dll。

　　第三步：然后点击程序的“文件管理”标签，在磁盘目录中依次点击Windows系统中的System32目录。找到暗组远控服务端文件12345.dll后，点击右键中的“直接删除文件”命令，就能够成功地将木马从系统中彻底清除。