endurer 原创
2006-10-17 第1版
昨天一位网友从某网站下载了一个绿色版的软件,双击了几次都没有什么显示,系统反应变慢,觉得不对头,重启电脑后情况依旧,于是请我帮忙看看。
打开任务管理器,发现一些可疑进程,先终止了explorer.exe,再新建任务,运行HijackThis扫描log,发现如下可疑项目:
/------------
Logfile of HijackThis v1.99.1
Scan saved at 20:15:37, on 2006-10-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/Program Files/Common Files/update2/Update.exe
C:/DOCUME~1/y168/LOCALS~1/Temp/~nsu.tmp/Au_.exe
O4 - HKLM/../Run: [Str3] hongqt
O4 - HKLM/../Run: [LongData] 焼
O4 - HKLM/../Run: [BinaryData] "3D梯
O4 - HKLM/../Run: [Update] C:/Program Files/Common Files/update2/Update.exe
O16 - DPF: {5932517A-3326-4439-A708-1C98EDB5C549} (Downloader Class) - file://C:/Documents and Settings/All Users/Application Data/Share Helper/Cast/GGS/d8f6fba154/js/iMopDl.cab
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:/WINDOWS/464d7300.dll (file missing)
------------/
把进程:
C:/Program Files/Common Files/update2/Update.exe
C:/DOCUME~1/y168/LOCALS~1/Temp/~nsu.tmp/Au_.exe
终止了。
用WinRAR找到:
C:/Documents and Settings/user/Local Settings/~nsu.tmp/Au_.exe
查看属性,是千橡互联发的东东,汗!
发现:
C:/Documents and Settings/user/Local Settings/Temp/RarSFX0/benben.exe
是个自解压文件,执行脚本为:
/-------------------
TempMode
Silent=1
Overwrite=1
setup=bind_40234.exe
Overwrite=1
setup=31.exe
Overwrite=1
setup=mp56.exe
-------------------/
会释放如下3个文件:
/-------------------
2005-12-14 13:00 28,672 31.exe(www.mmwan.com开发)
2006-09-04 20:38 37,648 mp56.exe(宏网超级搜霸在线安装程序)
2006-10-16 12:48 20,480 bind_40234.exe
-------------------/
而 C:/WINDOWS/system32/temp.EXE 是 Sogou Express Installer。
而该网友下载回来的“绿色版”软件是个名为jiekshijf.exe,长度为100多KB的文件,而那个软件正常的话文件大小应该近5MB。明显不对嘛,留心点的话会发现问题了。
这个jiekshijf.exe包含:
/----------
sys.exe(Kaspersky 报为 Trojan.Win32.VB.amy)
bo.exe(Kaspersky 报为 Trojan-Clicker.Win32.VB.ms )
ad.exe(Kaspersky 报为 Trojan-Clicker.Win32.VB.lc)
ad2.exe(Kaspersky 报为 Trojan.Win32.VB.ms)
----------/
如果运行前先用杀毒软件扫描一下,也不会这么容易中招。
都删除了。
用HijackThis修复下面所列的项目。
清空IE临时文件夹和系统临时文件夹。