当前位置:华中门户 > 杀毒 > 正文

能修改Thinkpad笔记本硬件配置信息的病毒

 近日,金山毒霸截获了一种能够修改Thinkpad笔记本硬件配置信息的病毒——“奸商修改器 ”(Win32.troj.profiteer.271360)。该病毒是一个修改器程序,能对从Thinkpad T43开始到酷睿2时代T60之间的所有机型进行修改,让低配置的水货机甚至完全冒牌的机器,看上去和正品行货机的配置完全一样,欺骗消费者。

  该病毒极有可能是某些不法商人找病毒制作者“量身定制”,奸商们借助多种形式,将一些Thinkpad笔记本换“ 芯”,然后通过刷bios和利用此修改器来进行掩盖。被此修改器动过手脚的机器,无论是系统属性还是CPU信息,查看起来都是正常的。而由于笔记本在使用中,Intel的 Speedstep技术还会降频,因此在性能上也感觉不到多大差异。也就是说,用户很可能用了很长时间的Thinkpad水货,也不知道自己已经上当受骗。


原始系统属性显示的真实信息


修改后系统属性显示的假信息


  据介绍,出现问题的笔记本有以下共性:

  1.系统的%WINDOWS%system32目录中都存在smssa.exe和smssb.exe两个进程,将它们强制关闭后,cpu频率会明显降低。

  2.利用Bios工具进行查看,cpu数据显示正常,但其版本日期都为05年11月7日。

  3.在smssa.Exe和smssb.Exe进程运行状态下,通过cpu-z等检测工具检测出来的值 都为修改后的值,且cpu信息那栏不停的闪动。

  4.大多数问题都出现在水货Thinkpad笔记本。


原始系统中Cpu-z显示的真信息


遭篡改后Cpu-z显示的假信息


  据了解,之前也曾出现过修改电脑配置数据的修改器,但大多数只是在装机初期进行安装,修改完后就会被删除。而此次发现的“奸商修改器”则是长期驻留在系统中,并且可以骗过大部分硬件配置查看工具的检查。因此,反病毒工程师认为它属于病毒木马的范畴,而不再仅仅是个普通的配置信息修改工具。


Bios的版本信息

  解决方法:

  1、手工删除以下相关文件
  “%sys32dir%\smssa.Exe
  %sys32dir%\smssb.Exe
  C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\smssa.Exe
  C:\DOCUME~1\ALLUSE~1\Startm~1\Programs\Startup\smssa.Exe(英文版) ”
  将dllcache目录下WINHLP32.EXE文件替换%windir%\WINHLP32.EXE文件

  2、运行注册表编辑器编辑以下键值“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,将Userinit键值中"smssb.Exe,"字符串去掉。删除System键值。

Copyright © Www.A598.Com 2006 - 2018 All Rights Reserved.   A598.Com联系方法见Www.A598.Com首页底部   
免责声明:本网站致力于提供合理、准确、完整的资讯信息,但不保证信息的合理性、准确性和完整性,且不对因信息的不合理、不准确或遗漏导致的任何损失或损害承担责任。