盗号木马导致系统假死,用户开机桌面空白,无法显示图标和桌面。这是一个木马病毒,目的是窃取‘魔域’、‘完美世界’、‘方浩游戏平台’。该病毒命名为win32 . troj . online games . ms . 18432,它采用特殊的方法来逃避杀毒软件的查杀。可能是病毒作者制作的程序中的一个BUG导致系统重启,桌面无法正常显示。
解决方案:调用windows任务管理器(Ctrl Alt Delete),切换到进程选项卡,然后找到wsttrs.exe进程。选中后右键结束该过程,可以正常显示桌面。
病毒特征:
1:复制文件
病毒运行后,会将自身复制到系统目录下。
C:\WINDOWS\system32\wsttrs.exe
释放一个病毒文件。
c:\ WINDOWS \ system32 \ wsttrs . dll(Win32。Troj.Onlinegames.nb.12288)
之后,病毒会自行删除。
2:添加启动项
该病毒会在注册表中添加一个启动键,用Windows启动自己。
HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnce
wsttrs'='C:\WINDOWS\wsttrs.exe '
可能是木马作者的疏忽,正是这个程序在下次开机后会自动加载导致系统无法正常显示桌面。
3:关闭杀毒软件。
病毒会寻找杀毒软件的窗口并关闭它。如果发现杀毒软件主程序关闭,就是病毒入侵的信号。
4:盗取账号
该病毒会寻找网络游戏‘魔域’的游戏进程,利用钩子读取用户输入的游戏账号和信息,通过wsttrs.dll文件上传网站,将获取的信息发送到木马种植者事先指定的网站,使用户的游戏账号丢失。
以下是该病毒的手动解决方案:
1.在windows XP和更高版本的系统中:
当你不能访问桌面时,调用windows任务管理器(Ctrl Alt Delete),切换到进程选项卡,然后找到wsttrs.exe进程。选中后右键结束该过程,可以正常显示桌面。
2.在Windows 2000和其他系统中
重启系统时,连续快速按下F8,在启动菜单中选择带网络连接的安全模式启动,并在线升级杀毒软件到最新版本(2007.04.07.16),检查windows目录是否有病毒。杀毒后重启系统正常显示桌面。
3.如果以上两种方案都失败了,可能就是病毒的最新变种。你应该进入安全模式,打开注册表编辑器,定位HKEY _本地_机器\软件\微软\windows \ current version \ RunOnce(注意是RunOnce,不是run),在系统盘\ windows或者系统盘\WinNT文件夹下寻找启动项。
例如:
wstthrs c:\windows\wsttrs.exe
或者
wstthrs c:\winnt\wsttrs.exe
删除键值。最后,重启系统。