endurer 原创
2006-03-16 第4版 补充Kaspersky对a.exe的反应。
2006-03-14 第3版 补充江民回复:setup.exe不是病毒。
2006-03-11 第2版 补充了具体处理过程
2006-03-10 第1版
昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。
我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助手的系统修复功能,还是不行,让我帮忙看看。
朋友的电脑比较老,使用的是Win 98。进入桌面后不断提示Explorer.exe出错,想正常关机都不行。
按Reset按钮,强制重新启动,按F8键,选择Safe Mode,进入安全模式,不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在,扫描log,发现如下可疑或需要修复的项目:
Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)
Running processes:
C:/WINDOWS/WINLOGON.EXE
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL
O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:/PROGRAM FILES/PCDOWNLOADER/BHOPLUGIN.DLL
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:/WINDOWS/DOWNLOADED PROGRAM FILES/CNSHOOK.DLL
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/rundll32.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:/PROGRAM FILES/YISOU/YISOU.DLL/232
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:/WINDOWS/SYSTEM/DLMain.dll
原来朋友是用雅虎助手来修复的,真是“与虎谋皮”。
到控制面板的“添加删除程序”里想把雅虎助手卸载,不想这东东居然要在线卸载,而Win 98的安全模式是不连网的。先把IE-BAR等几个可疑的项目卸掉了。
在log中,进程C:/WINDOWS/WINLOGON.EXE出现的有点怪,因为安全模式下
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
这项不会被系统执行。
找到
C:/WINDOWS/WINLOGON.EXE
C:/WINDOWS/ExERoute.exe
C:/WINDOWS/SYSTEM/rundll32.com
C:/WINDOWS/SYSTEM/regedit.com
C:/WINDOWS/SYSTEM/Msconfig.com
C:/WINDOWS/SYSTEM/finder.com
C:/WINDOWS/SYSTEM/dxdiag.com
C:/WINDOWS/TEMP/a.exe
C:/WINDOWS/TEMP/b.exe
C:/WINDOWS/finder.com
C:/WINDOWS/Internet.exe
C:/WINDOWS/system.exe
C:/WINDOWS/Winlogon.exe
等可疑文件,为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator,打包备份后删除。
接着问题就来了,运行程序时提示找不到C:/WINDOWS/ExERoute.exe。
原来C:/WINDOWS/ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe!
这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老,无USB接口,用软盘拷来瑞星注册表修复工具,不料软驱读软盘出错!
只好手工到注册表里修改,把regedit.exe改成regedit.com,进入注册表编辑器,修复了EXE文件关联。
用HijackThis修复了前面所列的项目。
重新启动电脑,这次进入Windows不再提示explorer.exe出错了,
运行瑞星杀毒助手,使用瑞星在线免费扫描,发现35个染毒文件:
文件名 病毒名
C:/WINDOWS/SYSTEM/rundll32.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/MSCONFIG.COM Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/finder.com Trojan.PSW.Lmir.jag(Kaserpersky报为Trojan-PSW.Win32.Lmir.aov)
C:/WINDOWS/SYSTEM/dxdiag.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/regedit.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/command.pif Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/rundll32.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/ca.exe>>b.EXE Trojan.PSW.Lmir.jbg(Kaspersky实时监控不报,手动扫描报为Trojan-PSW.Win32.Lmir.aoe)
C:/WINDOWS/SYSTEM/qq.exe.bak Trojan.PSW.LMir.jdc(Kaspersky报为Trojan-PSW.Win32.Lmir.aqo)
C:/WINDOWS/SYSTEM/DLMon.dll Trojan.DL.Agent
C:/WINDOWS/SYSTEM/DLMain.dll.del Trojan.DL.Agent(Kaspersky报为Trojan-Downloader.Win32.Agent.ue)
C:/WINDOWS/SYSTEM/regedit.com.bak Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/Msconfig.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/finder.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/dxdiag.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/TEMP/a.exe.bak Dropper.PSW.Lmir.agd(Kaspersky报为Trojan-PSW.Win32.Lmir.ash)
C:/WINDOWS/TEMP/b.exe.bak Trojan.PSW.Lmir.jje
C:/WINDOWS/Temporary Internet Files/Content.IE5/OHM7O5Y7/a[1].exe Dropper.PSW.Lmir.agd
C:/WINDOWS/Temporary Internet Files/Content.IE5/KBLFIAZT/qq[2].hta Script.Taorao.a (Kasersky报为Trojan-Dropper.VBS.Taorao)
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/9[1].exe Trojan.PSW.LMir.jdc
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/10[1].exe>>b.EXE Trojan.PSW.Lmir.jbg
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/11[1].exe Trojan.PSW.LMir.jdc
C:/WINDOWS/Temporary Internet Files/Content.IE5/SNXFUIN1/b[1].exe Trojan.PSW.Lmir.jje
C:/WINDOWS/72896.DLL Trojan.PSW.LMir.jdc
C:/WINDOWS/explorer.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/finder.com Trojan.PSW.Lmir.jag
C:/WINDOWS/explorer.com Trojan.PSW.Lmir.jag
C:/WINDOWS/1.com.bak Trojan.PSW.Lmir.jag
C:/WINDOWS/finder.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/Internet.exe.del Trojan.PSW.LMir.jdc
C:/WINDOWS/system.exe.del>>Unpack Trojan.Clicker.VB.cd(Kaspersky报为Trojan.Win32.VB.aat)
C:/WINDOWS/1.com Trojan.PSW.Lmir.jag
C:/WINDOWS/Winlogon.exe.del Trojan.PSW.Lmir.jag
C:/WINDOWS/ExERoute.exe.bak Trojan.PSW.Lmir.jag
C:/Program Files/Common Files/iexplore.pif Trojan.PSW.Lmir.jag
C:/Program Files/Internet Explorer/iexplore.com Trojan.PSW.Lmir.jag
都用瑞星杀毒助手解决了。
发现原来被改名的病毒文件又出来了,看看关联了.EXE文件的ExERoute.exe每次运行时都会检查病毒文件,不存在则重新创建。
由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!
看来以后运行系统内置命令还得指明扩展名。
另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数。
另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper
分享到:
相关推荐
俄罗斯安全软件Dr.Web,Trojan. Plastix木马感染文件解除工具plstfix
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
Trojan is a stable and efficient mobile lightweight log SDK that not only records general logs, such as Http, power changes, component life cycles, but also records the definition of the log, which it...
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
我的电脑让学生插了一下U盘,结果电脑出现中毒现象(变慢、经常蓝屏、出错、自动重启),一查是染上了 假冒腾迅TXPLATFORM.EXE 的U盘病毒,属于 Trojan.Generic.Is.536802,此文介绍查杀方法
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。...
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
本软件用于查杀各类已知或未知的...QQ密码使者、 QQ密码大盗、Trojan.QQSender.nicex、 Trojan.QQSender.ok530、 Trojan.QQSender.qiumei、Trojan.QQSender.qq3344 等2300余种病毒、木马测试,查杀准确率达98%以上!
js.scob.trojan
2020年trojan最新windows64客户端
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
技佳重庆电脑维修-清理垃圾与系统优化 重庆电脑维修,重庆家电脑维修 ... ==========本程序功能有...1 能很快地清理垃圾文件 2 清除右键自动播放 3 auto病毒 4 Delete Trojan.PSW.Lmir.iux By o__4pollo 5 设IE首页与标题
RakhniDecryptor,即卡巴斯基Rakhni勒索病毒解密工具,可以解密Rakhni在内的15种勒索病毒软件,其中还包括一款安卓勒索软件"Trojan-Ransom.AndroidOS.Pletor",如果你的电脑或安卓手机感染了勒索病毒,可以使用该...
该方案还删除一些恶意软件进行了一些标准的防病毒扫描器忽略额外的系统修改。 Trojan Killer扫描所有的文件在启动时加载广告软件,间谍软件,远程访问木马,网络蠕虫和其他恶意软件,木马克星工程系统的安全性...
可查杀最新木马,主要用于查杀Trojan.Malscript!html等易中木马
增加5个变种的查杀,分别是Trojan.Win32.Undef.iqd,Trojan.Win32.Undef.pun,Trojan.Win32.Undef.kcq等 文件信息: Size: 148992 bytes File Version: 2.03 Modified: 2008年9月3日, 15:21:22 MD5: 0B85E5AFC3E...