投票
标题:修理中了病毒和N多流氓软件的电脑之实战攻略
风来自何方
蕴含的太阳
Rank: 5Rank: 5Rank: 5Rank: 5Rank: 5


UID 6734
精华 1
积分 2139
帖子 179
狼毛 0 根
阅读权限 50
注册 2005-8-23
来自 江南
状态 离线
发表于 2006-7-26 18:19 资料 短消息  加为好友 
修理中了病毒和N多流氓软件的电脑之实战攻略

  一位网友说的他电脑中的IE窗口莫名其妙地跑出来许多工具栏,而且江民KV开机自动扫描发现病毒。让我帮忙清理一下。

  该网友电脑使用的是windows 2000 Pro SP4。先看了一下江民的开机自动扫描记录:


  病毒TrojanDownloader.Agent.aeg(http://virusinfo.jiangmin.com/infomation/200672495427.html)对应的文件名是文件名 c:\winnt\system32\VIPTray.exe。

  瑞星将 c:\winnt\system32\VIPTray.exe 报为:Trojan.DL.AdLoad.jh。

  打开c:\winnt\system32文件夹,江民KV文件监控报告:c:\winnt\system32\cns.exe感染了病毒Trojan/Agent.vf(http://virusinfo.jiangmin.com/infomation/200672111928.html)

  晕!江民KV开机自动扫描怎么没发现,现在才报告?

  关闭江民KV的所有监控,不然在把病毒文件打包时会出问题。

  把 c:\winnt\system32\cns.exe 和 c:\winnt\system32\VIPTray.exe 把包备份后删除。

  开始-->控制面板-->添加删除程序

  居然有N多的流氓软件栖息在这里,如雅虎助手、天下搜索、Desktop、百度搜霸、百狗搜索、中文上网、易虎……。

  都卸掉了。

  重新打开江民KV监控。

  用Hijackis扫描log,发现如下可疑项目:

-----------
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\lbjadcn.exe

O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll (file missing)

O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINNT\system32\WinDefendor.dll

O2 - BHO: 网络加速 - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:\WINNT\system32\wuwebex.dll

O2 - BHO: bg - {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} - (no file)

O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINNT\Downloaded Program Files\CONFLICT.1\barhelp24.0.dll

O4 - 启动项HKCU\\Run: [Syss] C:\DOCUME~1\ADMINI~1.HCN\LOCALS~1\Temp\ehuupdate.exe

O4 - 启动项HKCU\\Run: [MyShares] c:\program Files\易虎\MyShares.exe /tray

O4 - 启动项HKCU\\Run: [msnnt] C:\WINNT\mcUpdate.exe

O4 - Global Startup: IE-BAR.lnk = C:\WINNT\system32\rundll32.exe

O9 - 浏览器额外的按钮: test3 - {1FBA04EE-3024-11D2-8F1F-0000F87ABD38} - D:\Windows-KB886590-ENU-V1.1.exe (file missing)

O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
-----------

  其中文件:
-----------
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\lbjadcn.exe

C:\WINNT\mcUpdate.exe

D:\Windows-KB886590-ENU-V1.1.exe
-----------
  已不存在。

  但在 C:\WINNT\system32\drivers\mcq 文件夹里发现了:
-----------
2006-04-19  15:38                    0 adout.dat
2006-04-18  02:29               20,480 adout.exe
2006-06-21  02:27               40,960 mcUpdate.exe
2006-04-18  02:25                   46 up.dat
2006-04-18  02:29                  169 verx.dat
               5 个文件         61,655 字节
-----------

Kaspersky 把 mcUpdate.exe 报为 Trojan-Downloader.Win32.Agent.apu

瑞星 把 mcUpdate.exe 报为 Trojan.DL.Agent.kbp

江民KV 把 mcUpdate.exe 报为 TrojanDownloader.Agent.aec (http://virusinfo.jiangmin.com/infomation/2006721101151.html)

  需要注意的是:McAfee网络安全套装中,负责连接 到McAfee服务器进行病毒特征库升级的程序文件名也是mcupdate.exe,不要弄混了。


  用winRAR找到文件:
-----------
C:\WINNT\system32\WinDefendor.dll
C:\WINNT\system32\wuwebex.dll
C:\DOCUME~1\ADMINI~1.HCN\LOCALS~1\Temp\ehuupdate.exe
-----------
打包备份,但只能删除:C:\DOCUME~1\ADMINI~1.HCN\LOCALS~1\Temp\ehuupdate.exe

Kaspersky 将 C:\WINNT\system32\WinDefendor.dll 报为:not-a-virus:AdWare.Win32.dm.m
Kaspersky 将 C:\WINNT\system32\wuwebex.dll 报为:not-a-virus:AdWare.Win32.Accelerator.e

  而
-----------
C:\WINNT\system32\WinDefendor.dll
C:\WINNT\system32\wuwebex.dll
-----------
不能删除也不能改名。

  还好,以前用的IceSword 1.12还在。

  运行IceSword 1.12,发现这两个DLL注入到了explorer.exe 进程中,把wuwebex.dllunload后,移动到 c:\temp 文件夹中,以便分析。


  但在unload WinDefendor.dll 时,系统提示 explorer.exe 进程出错。IceSword1.12 无法再查看 explorer.exe 进程的模块信息,重新启动 IceSword 1.12,发现不仅 WinDefendor.dll 还在注入 explorer.exe 进程中,而被转移到c:\temp 文件夹中的 wuwebex.dll 也注入到 explorer.exe 进程来了。晕!

  Uload WinDefendor.dll 几次都出错。

  到http://endurer.ys168.com下载下次启动时自动删除文件程序auto_del.rar,解压并运行auto_del.exe,把 C:\WINNT\system32\WinDefendor.dll 从winRAR程序窗口拖到 auto_del.exe 程序窗口,然后点击“下次启动时删除”按钮。

  接着用记事本编辑 auto_del.exe 生成的 bat 文件,把删除命令del改成重命名命令ren。

  关闭所有浏览器窗口和文件夹窗口,用HijackThis修复上面所列的可疑项目。

  在 c:\program files 文件夹里发现 HuaCi、Searchnet、IE-Bar 等文件夹,也卸载和删除了。

  想把几个可疑文件上报给瑞星,但打不开网页!但可以ping通www.63.com等网站,说明网络连接是正常的。晕!

  重启电脑后,可以正常打开网页了。怀疑刚才打不开网页,是江民KV的网页监控引起的。





揭穿伪逻辑大师画皮的测验题 ——
一家米店,用两个重量为整数的砝码和一个天平,称三次,能称出1到N之间任意整数单位的米。N最大能是多少 ?
 顶部
 



当前时区 GMT+8, 现在时间是 2024-11-20 07:40
苏ICP备2024131517号

Powered by Discuz! 5.5.0 © 2001-2007
Processed in 0.006758 second(s), 6 queries, Gzip enabled

清除 Cookies - 联系我们 - 狼窝 - Archiver - WAP