当前位置:   article > 正文

修理中了病毒和N多流氓软件的电脑(第3版)

修理中了病毒和N多流氓软件的电脑(第3版)

endurer 原创

2006-07-25 第2、3版 补充杀毒软件的反应
2006-07-24 第1


  一位网友说的他电脑中的IE窗口莫名其妙地跑出来许多工具栏,而且江民KV开机自动扫描发现病毒。让我帮忙清理一下。

  该网友电脑使用的是windows 2000 Pro SP4。先看了一下江民的开机自动扫描记录:

  病毒TrojanDownloader.Agent.aeg(http://virusinfo.jiangmin.com/infomation/200672495427.html)对应的文件名是文件名 c:/winnt/system32/VIPTray.exe。

  瑞星将 c:/winnt/system32/VIPTray.exe 报为:Trojan.DL.AdLoad.jh

  打开c:/winnt/system32文件夹,江民KV文件监控报告:c:/winnt/system32/cns.exe感染了病毒Trojan/Agent.vf(http://virusinfo.jiangmin.com/infomation/200672111928.html)。

  晕!江民KV开机自动扫描怎么没发现,现在才报告?

  关闭江民KV的所有监控,不然在把病毒文件打包时会出问题。

  把 c:/winnt/system32/cns.exe 和 c:/winnt/system32/VIPTray.exe 把包备份后删除。

  开始-->控制面板-->添加删除程序

  居然有N多的流氓软件栖息在这里,如雅虎助手、天下搜索、Desktop、百度搜霸、百狗搜索、中文上网、易虎……。

  都卸掉了。

  重新打开江民KV监控。

  用Hijackis扫描log,发现如下可疑项目:

-----------
F2 - REG:system.ini: UserInit=C:/WINNT/system32/userinit.exe,C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/lbjadcn.exe

O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/PROGRA~1/DESKAD~1/deskipn.dll (file missing)

O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:/WINNT/system32/WinDefendor.dll

O2 - BHO: 网络加速 - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:/WINNT/system32/wuwebex.dll

O2 - BHO: bg - {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} - (no file)

O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:/WINNT/Downloaded Program Files/CONFLICT.1/barhelp24.0.dll

O4 - 启动项HKCU//Run: [Syss] C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe

O4 - 启动项HKCU//Run: [MyShares] c:/program Files/易虎/MyShares.exe /tray

O4 - 启动项HKCU//Run: [msnnt] C:/WINNT/mcUpdate.exe

O4 - Global Startup: IE-BAR.lnk = C:/WINNT/system32/rundll32.exe

O9 - 浏览器额外的按钮: test3 - {1FBA04EE-3024-11D2-8F1F-0000F87ABD38} - D:/Windows-KB886590-ENU-V1.1.exe (file missing)

O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
-----------

  其中文件:
-----------
C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/lbjadcn.exe

C:/WINNT/mcUpdate.exe

D:/Windows-KB886590-ENU-V1.1.exe
-----------
  已不存在。

  但在 C:/WINNT/system32/drivers/mcq 文件夹里发现了:
-----------
2006-04-19  15:38                    0 adout.dat
2006-04-18  02:29               20,480 adout.exe
2006-06-21  02:27               40,960 mcUpdate.exe
2006-04-18  02:25                   46 up.dat
2006-04-18  02:29                  169 verx.dat
               5 个文件         61,655 字节
-----------

Kaspersky 把 mcUpdate.exe 报为 Trojan-Downloader.Win32.Agent.apu

瑞星 把 mcUpdate.exe 报为 Trojan.DL.Agent.kbp

江民KV 把 mcUpdate.exe 报为 TrojanDownloader.Agent.aec (http://virusinfo.jiangmin.com/infomation/2006721101151.html)。

  需要注意的是:McAfee网络安全套装中,负责连接 到McAfee服务器进行病毒特征库升级的程序文件名也是mcupdate.exe,不要弄混了。


  用winRAR找到文件:
-----------
C:/WINNT/system32/WinDefendor.dll
C:/WINNT/system32/wuwebex.dll
C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe
-----------
打包备份,但只能删除:C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe

Kaspersky 将 C:/WINNT/system32/WinDefendor.dll 报为:not-a-virus:AdWare.Win32.dm.m
Kaspersky 将 C:/WINNT/system32/wuwebex.dll 报为:not-a-virus:AdWare.Win32.Accelerator.e

  而
-----------
C:/WINNT/system32/WinDefendor.dll
C:/WINNT/system32/wuwebex.dll
-----------
不能删除也不能改名。

  还好,以前用的IceSword 1.12还在。

  运行IceSword 1.12,发现这两个DLL注入到了explorer.exe 进程中,把wuwebex.dllunload后,移动到 c:/temp 文件夹中,以便分析。

  但在unload WinDefendor.dll 时,系统提示 explorer.exe 进程出错。IceSword1.12 无法再查看 explorer.exe 进程的模块信息,重新启动 IceSword 1.12,发现不仅 WinDefendor.dll 还在注入 explorer.exe 进程中,而被转移到c:/temp 文件夹中的 wuwebex.dll 也注入到 explorer.exe 进程来了。晕!

  Uload WinDefendor.dll 几次都出错。

  到http://endurer.ys168.com下载下次启动时自动删除文件程序auto_del.rar,解压并运行auto_del.exe,把 C:/WINNT/system32/WinDefendor.dll 从winRAR程序窗口拖到 auto_del.exe 程序窗口,然后点击“下次启动时删除”按钮。

  接着用记事本编辑 auto_del.exe 生成的 bat 文件,把删除命令del改成重命名命令ren。

  关闭所有浏览器窗口和文件夹窗口,用HijackThis修复上面所列的可疑项目。

  在 c:/program files 文件夹里发现 HuaCi、Searchnet、IE-Bar 等文件夹,也卸载和删除了。

  想把几个可疑文件上报给瑞星,但打不开网页!但可以ping通www.163.com等网站,说明网络连接是正常的。晕!

  重启电脑后,可以正常打开网页了。怀疑刚才打不开网页,是江民KV的网页监控引起的。

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/黑客灵魂/article/detail/947678
推荐阅读
相关标签
  

闽ICP备14008679号