Spyware.Screenlogger
更新: 2007 年 3 月 1 日 9:02:02 AM
类型: Spyware
风险影响: Medium
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
行为
Spyware.Screenlogger 可从计算机上捕获屏幕截图。 屏幕捕获功能可基于时间间隔、键盘操作或鼠标事件来触发。 其可以将屏幕截图作为日志文件保存在本地计算机上,但是其并不具有允许远程访问这些日志文件的功能。
2007 年 2 月 13 日之前的病毒定义会将此风险检测为 Hacktool.Screenlogger。
防护
病毒定义(每日 LiveUpdate™) 2004 年 12 月 15 日
病毒定义(每周 LiveUpdate™) 2004 年 12 月 15 日
病毒定义(智能更新程序) 2004 年 12 月 15 日
病毒定义(LiveUpdate™ Plus) 2004 年 12 月 15 日
执行此程序时,它会创建下列文件:
[用户定义的安装路径]slman.exe
[用户定义的安装路径]slview.exe
[用户定义的安装路径]order.txt
[用户定义的安装路径]
ead_me.txt
[用户定义的安装路径]uninst.exe
[用户定义的安装路径]log[date].IDX
[用户定义的安装路径]log[date].MIM
[用户定义的安装路径]logMAINIDX.MDX
[用户定义的安装路径]logMAINIDX.TMP
%SYSTEM%loadwin.exe
%SYSTEM%sldrv.dll
%SYSTEM%zlib.dll
接下来,该程序会创建下列注册表项,以便在每次 Windows 启动时执行该程序:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"SL Loader" = "%SYSTEM%loadwin.exe"
该程序还会创建下列注册表子项:
HKEY_LOCAL_MACHINESoftwareScreenLogger
HKEY_CURRENT_USERSoftwareScreenLogger
这样,该程序就可基于时间间隔、键盘操作或鼠标事件从受感染的计算机捕获屏幕截图。
开始前的准备工作:此黑客工具可能包含一个卸载程序。 该卸载程序通常为 [用户定义的安装路径]uninst.exe。使用 Windows 资源管理器,查看此文件是否存在。
如果无法找到该文件,请按照下列说明进行操作。
如果该文件存在,请双击该文件,然后按照提示进行操作。 在卸载程序运行结束后,为确保已删除该威胁,请按下列说明进行操作。
下列说明适用于所有当前和最近的赛门铁克防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。
禁用系统还原 (Windows Me/XP)。
更新病毒定义。
运行全面系统扫描。
删除添加到注册表的任何值。
删除安装文件夹。
有关每个步骤的详细信息,请参阅下列说明。
1. 禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能。 默认情况下启用此功能,一旦计算机中的文件被破坏,Windows Me/XP 可使用此功能将其还原。 如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。 因此,防病毒程序或工具无法清除 System Restore 文件夹中的威胁。 这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在 System Restore 文件夹中检测到威胁,即使您已清除此威胁。
有关如何关闭系统还原功能的说明,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows Me 系统还原
如何关闭或打开 Windows XP 系统还原
注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
有关其他信息以及禁用 Windows Me 系统还原功能的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件(文章编号:263455)。
2. 更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate,这是获得病毒定义最简便的方法。
使用智能更新程序下载病毒定义:智能更新程序病毒定义每天发布一次。 您应当从赛门铁克安全响应中心网站下载定义并手动安装它们。 要确定是否可通过智能更新程序获得用于此威胁的定义,请参阅病毒定义(智能更新程序)。
最新的智能更新程序病毒定义可由此处获得:智能更新程序病毒定义。 有关详细指导,请参阅文档:如何使用智能更新程序更新病毒定义文件。
3. 运行全面系统扫描
启动赛门铁克防病毒程序,并确保已将其配置为扫描所有文件。
运行全面系统扫描。
如果检测到任何文件,请按照防病毒程序所显示的说明操作。
要点:如果无法启动赛门铁克防病毒产品或该产品报告其无法删除检测到的文件,则可能需要停止运行此风险,以便删除文件。 要完成此操作,请在安全模式下运行扫描。 有关说明,请参阅文档:如何以安全模式启动计算机。 以安全模式重新启动后,再次运行扫描。
删除文件后,以正常模式重新启动计算机,然后继续执行下一部分。
计算机重新启动时可能会显示警告消息,因为此时可能尚未完全清除威胁。 可以忽略这些消息并单击“确定”。 彻底完成清除操作之后,重新启动计算机时将不会出现这些消息。 所显示消息可能会如下所示:
标题:[文件路径]
消息正文:Windows 无法找到 [文件名]。 请确保键入了正确的名称,然后重试。 要搜索文件,请单击“开始”按钮,然后单击“搜索”。
4. 从注册表中删除值
要点:赛门铁克强烈建议在对注册表进行任何更改之前先进行备份。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的子项。 有关说明,请参阅文档:如何备份 Windows 注册表。
单击“开始”>“运行”。
键入 regedit,
然后单击“确定”。
注意:如果无法打开注册表编辑器,则威胁可能已经修改了注册表以防止进入注册表编辑器。 安全响应中心已开发出了一种工具以解决此问题。下载并运行此工具,然后继续杀毒。
导航到下列注册表项并将其删除:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun"SL Loader" = "%SYSTEM%loadwin.exe"
导航到下列子项并将其删除:
HKEY_LOCAL_MACHINESoftwareScreenLogger
HKEY_CURRENT_USERSoftwareScreenLogger
退出注册表编辑器。
5. 删除安装文件夹
导航至用于安装 ScreenLogger 的文件夹并将该文件夹删除。 默认文件夹为 C:sl。