簡介
更新: 2007 年 3 月 1 日 9:02:02 AM
類型: Spyware
風險影響: Medium
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
行為
Spyware.Screenlogger 可從計算機上捕獲螢幕截圖。 螢幕捕獲功能可基於時間間隔、鍵盤操作或滑鼠事件來觸發。 其可以將螢幕截圖作為日誌檔案保存在本地計算機上,但是其並不具有允許遠程訪問這些日誌檔案的功能。
2007 年 2 月 13 日之前的病毒定義會將此風險檢測為 Hacktool.Screenlogger。
防護
病毒定義(每日 LiveUpdate™) 2004 年 12 月 15 日
病毒定義(每周 LiveUpdate™) 2004 年 12 月 15 日
病毒定義(智慧型更新程式) 2004 年 12 月 15 日
病毒定義(LiveUpdate™ Plus) 2004 年 12 月 15 日
執行此程式時,它會創建下列檔案:
【用戶定義的安裝路徑】\slman.exe
【用戶定義的安裝路徑】\slview.exe
【用戶定義的安裝路徑】\order.txt
【用戶定義的安裝路徑】\read_me.txt
【用戶定義的安裝路徑】\uninst.exe
【用戶定義的安裝路徑】\log\【date】.IDX
【用戶定義的安裝路徑】\log\【date】.MIM
【用戶定義的安裝路徑】\log\MAINIDX.MDX
【用戶定義的安裝路徑】\log\MAINIDX.TMP
%SYSTEM%\loadwin.exe
%SYSTEM%\sldrv.dll
%SYSTEM%\zlib.dll
接下來,該程式會創建下列註冊表項,以便在每次 Windows 啟動時執行該程式:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SL Loader" = "%SYSTEM%\loadwin.exe"
該程式還會創建下列註冊表子項:
HKEY_LOCAL_MACHINE\Software\ScreenLogger
HKEY_CURRENT_USER\Software\ScreenLogger
這樣,該程式就可基於時間間隔、鍵盤操作或滑鼠事件從受感染的計算機捕獲螢幕截圖。
開始前的準備工作:此黑客工具可能包含一個卸載程式。 該卸載程式通常為 【用戶定義的安裝路徑】\uninst.exe。使用Windows 資源管理器,查看此檔案是否存在。
如果無法找到該檔案,請按照下列說明進行操作。
如果該檔案存在,請雙擊該檔案,然後按照提示進行操作。 在卸載程式運行結束後,為確保已刪除該威脅,請按下列說明進行操作。
解決辦法
下列說明適用於所有當前和最近的賽門鐵克防病毒產品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品)。
禁用系統還原 (Windows Me/XP)。
更新病毒定義。
運行全面系統掃描。
刪除添加到註冊表的任何值。
刪除安裝資料夾。
有關每個步驟的詳細信息,請參閱下列說明。
1. 禁用系統還原 (Windows Me/XP)
如果正在運行 Windows Me 或 Windows XP,建議您暫時關閉系統還原功能。 默認情況下啟用此功能,一旦計算機中的檔案被破壞,Windows Me/XP 可使用此功能將其還原。 如果病毒、蠕蟲或特洛伊木馬感染了計算機,則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。
Windows 禁止包括防病毒程式在內的外部程式修改系統還原。 因此,防病毒程式或工具無法清除 System Restore 資料夾中的威脅。 這樣,系統還原就可能將受感染檔案還原到計算機上,即使您已經清除了所有其他位置的受感染檔案。
此外,病毒掃描也可能在 System Restore 資料夾中檢測到威脅,即使您已清除此威脅。
有關如何關閉系統還原功能的說明,請參閱 Windows 文檔或下列文章之一:
如何禁用或啟用 Windows Me 系統還原
如何關閉或打開 Windows XP 系統還原
注意:當您完全完成防毒步驟,並確定威脅已清除後,請按照上述文檔中的說明重新啟用系統還原。
有關其他信息以及禁用 Windows Me 系統還原功能的其他方法,請參閱 Microsoft 知識庫文章:病毒防護工具無法清除 _Restore 資料夾中受感染的檔案(文章編號:263455)。
2. 更新病毒定義
賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前,會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義:
運行 LiveUpdate,這是獲得病毒定義最簡便的方法。
使用智慧型更新程式下載病毒定義:智慧型更新程式病毒定義每天發布一次。 您應當從賽門鐵克安全回響中心網站下載定義並手動安裝它們。 要確定是否可通過智慧型更新程式獲得用於此威脅的定義,請參閱病毒定義(智慧型更新程式)。
最新的智慧型更新程式病毒定義可由此處獲得:智慧型更新程式病毒定義。 有關詳細指導,請參閱文檔:如何使用智慧型更新程式更新病毒定義檔案。
3. 運行全面系統掃描
啟動賽門鐵克防病毒程式,並確保已將其配置為掃描所有檔案。
運行全面系統掃描。
如果檢測到任何檔案,請按照防病毒程式所顯示的說明操作。
要點:如果無法啟動賽門鐵克防病毒產品或該產品報告其無法刪除檢測到的檔案,則可能需要停止運行此風險,以便刪除檔案。 要完成此操作,請在安全模式下運行掃描。 有關說明,請參閱文檔:如何以安全模式啟動計算機。 以安全模式重新啟動後,再次運行掃描。
刪除檔案後,以正常模式重新啟動計算機,然後繼續執行下一部分。
計算機重新啟動時可能會顯示警告訊息,因為此時可能尚未完全清除威脅。 可以忽略這些訊息並單擊“確定”。 徹底完成清除操作之後,重新啟動計算機時將不會出現這些訊息。 所顯示訊息可能會如下所示:
標題:【檔案路徑】
訊息正文:Windows 無法找到 【檔案名稱】。 請確保鍵入了正確的名稱,然後重試。 要搜尋檔案,請單擊“開始”按鈕,然後單擊“搜尋”。
4. 從註冊表中刪除值
要點:賽門鐵克強烈建議在對註冊表進行任何更改之前先進行備份。 錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。 應只修改指定的子項。 有關說明,請參閱文檔:如何備份 Windows 註冊表。
單擊“開始”>“運行”。
鍵入 regedit,
然後單擊“確定”。
注意:如果無法打開註冊表編輯器,則威脅可能已經修改了註冊表以防止進入註冊表編輯器。 安全回響中心已開發出了一種工具以解決此問題。下載並運行此工具,然後繼續防毒。
導航到下列註冊表項並將其刪除:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\"SL Loader" = "%SYSTEM%\loadwin.exe"
導航到下列子項並將其刪除:
HKEY_LOCAL_MACHINE\Software\ScreenLogger
HKEY_CURRENT_USER\Software\ScreenLogger
退出註冊表編輯器。
5. 刪除安裝資料夾
導航至用於安裝 ScreenLogger 的資料夾並將該資料夾刪除。 默認資料夾為 C:\sl。
