广告程序“揭发”传奇网游盗号木马等

Love The Way You Lie 2024-03-31 13:14 159阅读 0赞

endurer 原创
2006-09-25 第1

有位网友的电脑不定期弹出广告窗口,让我帮忙检查一下。

到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,发现可疑项:

/————-
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:/WINDOWS/WINLOGON.EXE

F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/Userinit.exe,,C:/WINDOWS/system32/internst.exe
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7939.com
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.265.com
O1 - Hosts: 125.91.1.20 www.v111.com

O4 - HKLM/../Run: [stup.exe] C:/PROGRA~1/TENCENT/Adplus/stup.exe
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
O4 - HKLM/../Run: [Desktop] C:/WINDOWS/system32/rundll32.exe “C:/Program Files/DeskAdTop/Run.dll” ,Rundll
O4 - HKLM/../Run: [rundll] rundll32 user.dll s
-————/

可见弹出广告窗口是桌面媒体在做怪,却让我们发现有类似传奇盗号木马的东东!

用HijackThis扫描启动项列表,还发现:
/————-
File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command

(Default) = C:/WINDOWS/ExERoute.exe “%1” %*
-————/
EXE文件关联果然被修改了。

从瑞星网站下载“瑞星注册表修复工具”,发现注册表有多处被恶意修复,修复了。

到 http://endurer.ys168.com 下载了 procview,终止进程:C:/WINDOWS/WINLOGON.EXE

卸载:腾讯地址栏搜索,桌面媒体

WinRAR查找下列文件:
/————-
C:/WINDOWS/1.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/WINDOWS/ExERoute.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/WINDOWS/EXPLORER.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/WINDOWS/FINDER.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/WINDOWS/WINLOGON.EXE(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/regedit.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/dxdiag.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/command.pif(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/MSCONFIG.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/rundll32.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/finder.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
C:/Windows/system32/1.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia,瑞星 报为 Trojan.PSW.JHOnline.esq
C:/Windows/system32/2.exe(Kaspersky 报为 Trojan-Dropper.Win32.Delf.wo
C:/Windows/system32/4.exe
C:/Windows/system32/6.exe(Kaspersky 报为 Trojan.Win32.Pakes,瑞星 报为 Trojan.PSW.Lmir.lei
C:/Windows/system32/user.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia,DrWeb 报为 Trojan.PWS.Gamania,瑞星 报为 Trojan.PSW.JHOnline.esq
C:/Windows/system32/myrx.dll(Kaspersky 报为 Trojan.Win32.BCB.i
C:/Program Files/Internet Explorer/internat1.exe
C:/Program Files/Internet Explorerinternat5.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.axn
C:/Program Files/Internet Exploreriexplore.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
D:/autorun.inf
D:/PAGEFILE.PIF(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk
-————/

打包备份后删除。

不过没找到文件:C:/WINDOWS/system32/internst.exe

关闭所有浏览器和文件夹窗口,用HijackThis扫描并修复上面所列项目。

清空IE临时文件夹

清空 C:/Documents and Settings/user/Local Settings/temp(其中 user 为用户名)

清空 C:/windows/temp

发表评论

表情:
评论列表 (有 0 条评论,159人围观)

还没有评论,来说两句吧...

相关阅读