遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马

endurer 原创
2006-12-10 第1版

一位网友的电脑最近工作比较慢，让偶帮忙检修看看。

到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。

先用 HijackThis 扫描 log，发现以下可疑项：
/-------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:/WINDOWS/system32/MRTServ.exe

F3 - REG:win.ini: load=C:/windows/system32/wincfgs.exe
O4 - HKLM/../Run: [SOUNDM] win32smd.exe
O20 - AppInit_DLLs: 919331M.BMP
O21 - SSODL: IPicture - {D94D666A-0F7B-5892-A7E3-29340333F07E} - c:/program files/internet explorer/PLUGINS/IPictureEx.dll
O21 - SSODL: QQMusic - {E16A6111-85DD-4877-8E67-017B0193D359} - C:/WINDOWS/QQMusic.dll
O23 - Service: MRTServ - Unknown owner - C:/WINDOWS/system32/MRTServ.exe
-------/

用 ProcView 导出系统进程列表，发现：
/-------
Windows XP (5.1.2600 Service Pack 2)
2006-12-06 17:24:20进程列表
[System Process]
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/winlogon.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/services.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/lsass.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/svchost.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/svchost.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/System32/svchost.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/Explorer.EXE
   C:/WINDOWS/919331M.BMP
   c:/program files/internet explorer/PLUGINS/IPicture.dll
   C:/WINDOWS/msole.dll
   C:/WINDOWS/system32/KB9193316.LOG
C:/WINDOWS/system32/spoolsv.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/MRTServ.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/svchost.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/System32/alg.exe
   C:/WINDOWS/919331M.BMP
C:/Program Files/Common Files/Real/Update_OB/realsched.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/ctfmon.exe
   C:/WINDOWS/919331M.BMP
C:/Program Files/Messenger/msmsgs.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/rundll32.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/conime.exe
   C:/WINDOWS/919331M.BMP
C:/Program Files/Internet Explorer/iexplore.exe
   C:/WINDOWS/919331M.BMP
C:/Downloads/HijackThis.exe
   C:/WINDOWS/919331M.BMP
C:/WINDOWS/system32/NOTEPAD.EXE
   C:/WINDOWS/919331M.BMP
-------/

重启电脑到安全模式下，

关闭系统还原功能

停止并禁用服务：MRTServ

用WinRAR找到下列文件，打包备份后删除：
1、
/-------
文件说明符 : C:/WINDOWS/system32/win32smd.exe
获取文件版本信息大小失败!
修改时间 : 2006-12-6 15:0:14
大小 : 112945 字节 110.305 KB
MD5 : 669e61e005e465da81995dd53722e935
-------/
Kaspersky 报为：Trojan-Dropper.Win32.Delf.wy，DrWeb报为：Trojan.PWS.Wow，瑞星报为:Trojan.Delf.qyk。

2、
/-------
文件说明符 : C:/WINDOWS/919331M.BMP
获取文件版本信息大小失败!
修改时间 : 2006-12-6 15:0:30
大小 : 53248 字节 52.0 KB
MD5 : d5e23f77abe506a3c00e7e198425678d
-------/
Kaspersky报为：Trojan-PSW.Win32.Lmir.bgb，DrWeb报为：Trojan.PWS.Legmir.713，瑞星报为：Trojan.PSW.Lmir.lnv。

3、
/-------
文件说明符 : C:/WINDOWS/system32/MRTServ.exe
语言 : 英语(美国)
文件版本 : 1.18.1507.0
说明 : Microsoft Windows Malicious Software Removal Tool
版权 : ? Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 1.18.1507.0
产品名称 : Microsoft Windows Malicious Software Removal Tool
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : MRTSERV.exe
源文件名 : MRTSERV.exe
修改时间 : 2004-8-17 12:0:0
大小 : 29184 字节 28.512 KB
MD5 : 655ea3ad2be703869470387e46e99f71
-------/

kaspersky：Trojan-PSW.Win32.QQPass.hv，DrWeb报为：Trojan.PWS.Qqpass.256，瑞星报为：Trojan.PSW.Agent.asb。

4、
/-------
文件说明符 : C:/WINDOWS/system32/KB9193316.LOG
获取文件版本信息大小失败!
修改时间 : 2006-12-6 14:56:28
大小 : 117760 字节 115.0 KB
-------/

Kaspersky报为：Trojan-PSW.Win32.WOW.ms，瑞星报为：Trojan.Delf.qyk。

因为时间紧，下列文件
/-------
C:/WINDOWS/msole.dll
C:/WINDOWS/QQMusic.dll
C:/windows/system32/wincfgs.exe
c:/program files/internet explorer/PLUGINS/IPicture.dll
-------/
漏了，没打包备份。

用HijackThis修复上面所列项目。

清空IE临时文件夹。