endurer 原创
2006-09-20 第1版
有位网友的网游帐号被盗了,让我帮忙检查一下。
该网友的电脑使用的是Win XP SP2,从瑞星网站下载“瑞星注册表修复工具”,发现注册表有多处被恶意修复,修复了。
同时发金山毒霸的开机启动项,在开始菜单中找到金山毒霸,把病毒库升级到最新,全面查杀病毒,结果如下:
/----------------
C:/WINDOWS/1.com(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/ExERoute.exe(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/EXPLORER.COM(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/FINDER.COM(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/SMSS.EXE(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/WINLOGON.EXE(Win32.PSWTroj.Game.fe.52684)
C:/WINDOWS/system32/1.exe(Win32.Troj.RXJH.my.35697)
C:/WINDOWS/SYSTEM32/COMMAND.PIF(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/SYSTEM32/DXDIAG.COM(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/SYSTEM32/FINDER.COM(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/SYSTEM32/MSCONFIG.COM(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/SYSTEM32/MYRX.DLL(Win32.Troj.RXJH.my.55296)
C:/WINDOWS/SYSTEM32/REGEDIT.COM(Win32.Troj.WOW.vb.52966)
C:/WINDOWS/SYSTEM32/RUNDLL32.COM(Win32.Troj.WOW.vb.52966)
C:/PROGRAM FILES/COMMON FILES/IEXPLORE.PIF(Win32.Troj.WOW.vb.52966)
C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE.COM(Win32.Troj.WOW.vb.52966)
D:/PAGEFILE.PIF(Win32.Troj.WOW.vb.52966)
----------------/
与以前遇到的 传奇盗号木马(Trojan.PSW.Lmir) 和 密西木马(Trojan.PSW.Misc)相似,都清除了。
到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,发现可疑项:
/----------------
F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/userinit.exe,,C:/WINDOWS/system32/internst.exe
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/PROGRA~1/DESKAD~1/deskipn.dll (file missing)
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:/PROGRA~1/baidu/bar/baidubar.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:/PROGRA~1/baidu/bar/baidubar.dll
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
O4 - HKLM/../Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program Files/DeskAdTop/Run.dll" ,Rundll
O4 - HKLM/../Run: [Cn911] C:/WINDOWS/system32/Cn911.exe
O4 - HKLM/../Run: [TProgram] C:/WINDOWS/SMSS.EXE
----------------/
卸载:桌面媒体,百度超级搜霸
手工检查,发现可疑文件:
/----------------
C:/WINDOWS/system32/4.exe(DrWeb 报为 Adware.Msearch)
C:/WINDOWS/system32/Cn911.exe(Kaspersky 报为 Trojan-Downloader.Win32.VB.anf,DrWeb报为Trojan.DownLoader.12382)
D:/autorun.inf
----------------/
删除。
不过没找到文件:C:/WINDOWS/system32/internst.exe
关闭所有浏览器和文件夹窗口,用HijackThis扫描并修复上面所列项目。
清空IE临时文件夹
清空 C:/Documents and Settings/user/Local Settings/temp(其中 user 为用户名)
清空 C:/windows/temp