一位网友的电脑疑似是中了Viking、灰鸽子等

最新推荐文章于 2024-09-15 22:47:38 发布
最新推荐文章于 2024-09-15 22:47:38 发布
阅读量3.5k 收藏
点赞数
分类专栏: 系统安全 系统维护 文章标签: internet winform email windows system 浏览器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1537533
版权

endurer 原创

2007-03-22 第1版 

今天收到一位网友的email,没说明电脑出现了什么问题,只有 HijackThis 的日志。

在日志中发现如下可疑项:


HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:09:06, 日期 2007-3-21
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - 启动项HKLM//Run: [winform] E:/WINDOWS/winform.exe
O4 - 启动项HKLM//Run: [cmdbcs] E:/WINDOWS/cmdbcs.exe

O4 - 启动项HKLM//Run: [wsttrs] E:/WINDOWS/wsttrs.exe

O4 - 启动项HKCU//Run: [System Boot Check] C:/windows/baba.exe
O4 - 启动项HKCU//Run: [set] E:/WINDOWS/servicea.exe
O4 - 启动项HKCU//Run: [6] E:/WINDOWS/iexpl0ra.exe
O4 - 启动项HKCU//Run: [c] E:/WINDOWS/c0nima.exe
O4 - 启动项HKCU//Run: [gf73z81wd] E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
O4 - 启动项HKCU//Run: [2zgemexrk] E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe

O23 - NT 服务: internet - Unknown owner - E:/WINDOWS/nntv.exe

O23 - NT 服务: Workstation  - Unknown owner - E:/WINDOWS/services.exe

 

看到O4组的启动项,有一些和前天中了Worm.Viking.pk的网友的电脑中发现的相似。见:

昨天才提醒,今天就有网友点QQ信息中的网址,中Worm.Viking.pk了
http://endurer.bokee.com/6174316.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html


修复建议:

(下列修复操作可参考【系统修复系列之】基本操作索引  
http://endurer.blogchina.com/2591241.html

重启电脑到安全模式

停止并禁用服务:
internet
Workstation

用WinRAR找到文件:

E:/WINDOWS/winform.exe
E:/WINDOWS/cmdbcs.exe
E:/WINDOWS/wsttrs.exe
C:/windows/baba.exe
E:/WINDOWS/servicea.exe
E:/WINDOWS/iexpl0ra.exe
E:/WINDOWS/c0nima.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe
E:/WINDOWS/nntv.exe
E:/WINDOWS/services.exe

打包备份后删除。

用HijackThis修复上列可疑项

清空IE临时文件夹

清空 c:/windows/prefetch

重启电脑,把 E:/WINDOWS/services.exe 等文件的压缩包作为email附件发到endurer@163.com

 

紫郢剑侠
关注
专栏目录
清除了灰鸽子新变种、几个广告程序
Purpleendurer@CSDN
08-20 1647
endurer 原创2006-08-20 第1版一位网友电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql。如:/------------病毒名称 处理结果 发现日期 路径文件病毒来源Backdoor.Gpigeon.uql 清除成功  2006-08-19 13:58 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/
一位网友Viking Trojan PSW OnLineGames abo Trojan PSW SBoy b等
gdfyug的博客
02-09 274
一位网友Viking Trojan PSW OnLineGames abo Trojan PSW SBoy b等
Viking Village维京村落demo的地面积水效果
dongfushu7972的博客
07-23 160
效果如下: 似乎是通过高光贴图实现的,查找后发现具体在这: 它使用了基于Standard的TerrainSurface自定义Shader,关闭该帖图后效果消失: 这个TerrainSurfaceShader放置在项目,可以直接拿来使用 转载于:https://www.cnblogs.com/hont/p/5697946.html...
一位网友Viking,Trojan.PSW.OnLineGames.abo,Trojan.PSW.SBoy.b等
caobihole
04-04 139
endurer 原创2007-04-04 第1版 昨晚,一位网友说,他的电脑工作速度很慢,浏览网页时自动弹广告,让偶帮助检查一下。 让他先用HijackThis(可到http://endurer.ys168.com下载)扫描log传过来一看,估计是Viking了。 让他传了几个可疑文件过来。 同时到江民网站下载了Viking专杀工具传给网友查杀,果然清除了一些。 又将pe_xscan、P...
Viking GPS data editor and analyzer:Viking是一个免费/开源程序,用于管理GPS数据-开源
04-29
您可以导入,绘制和创建轨迹,路线和路标,显示OSM,Bing航空和其他地图,对地图进行地理标记,使用OSRM创建路线,查看实时GPS位置(不在Windows),使用Mapnik进行地图(不在Windows) ),控制项等内容。...
Viking
10-28
"Viking" 字体可能是TrueType字体(.TTF)格式,这是一种常见的、跨平台的字体格式,可以在Windows、Mac OS等操作系统上使用。 【压缩包子文件的文件名称列表】: - "vikingnormal1.gif" 这个文件可能是"Viking...
mxcc.rar_Viking
09-14
标题 "mxcc.rar_Viking" 暗示我们正在处理一个与Viking相关的项目,而这个项目包含了一个名为 "mxcc" 的组件。描述提到 "mxcc.h" 文件包含了Viking MXCC(可能是Microcontroller eXtended Configuration ...
Git-Viking:完成和进行的开发指导工作
03-04
Git-Viking是一个专门为Python开发者设计的工具,旨在帮助他们更好地管理和协调开发过程的完成与进行的任务。在软件开发,版本控制是至关重要的,尤其是对于团队协作项目,Git作为最流行的分布式版本控制系统...
Java小白一文讲清Java集合相关的知识点(九)
Kerwin_D的博客
09-12 783
Java小白一文讲清Java集合相关的知识点(九)
C++初阶学习——探索STL奥秘——模拟实现list类
Joker10085的博客
09-15 806
list模拟实现
Android Radio2.0——有效电台扫描(八)
小旭的专栏
09-12 744
上一篇文章在我们拿到了电台动态列表,接下来我们继续按照最初的思路执行 scan() 进行电台搜索操作。1)通过 getDynamicProgramList() 方法获取动态列表。2)按照动态列表的内容,循环调用 scan() 方法执行向上调台,直到列表的内容搜索完成。3)根据 RadioManager.ProgramInfo.getSignalStrength() 判断信号质量,生成一个有效电台列表。4)回调监听扫描状态及有效电台列表的变化。
Linux FTP服务问题排查
最新发布
09-15 396
最近linux虚拟机重启之后发现,FTP服务总是不正常,工具无法连接。
性能测试:Locust使用介绍(三)
zhangkexin_z的博客
09-12 962
Locust是一个用于HTTP和其他协议的开源性能/负载测试工具。使用Python代码编写测试脚本。Locust可以从命令行或使用其基于web的UI运行。吞吐量、响应时间和错误可以实时查看和/或导出以供以后分析。
springboot系列--yaml配置文件使用
weixin_42972832的博客
09-12 863
1、yaml配置文件数据主要是以key:value的形式存在:和value之间存在空格2、yaml配置文件对大小写敏感3、使用缩进表示层级关系,缩进不允许使用tab,只允许空格4、缩进的空格数不重要,只要相同层级的元素左对齐即可5、'#'表示注释6、字符串无需加引号,如果要加,''与""表示字符串内容 会被 转义(单引号)/不转义(双引号)7、文件的标准扩展名为.yaml,也可接受.yml扩展名。
java如何计算两个list的差集,并集,交集等,举一个详细的实例说明。
gb4215287的博客
09-12 481
java如何计算两个list的差集,并集,交集等,举一个详细的实例说明。
Jackson
howeres的博客
09-12 313
/
java如何计算两个list的差集,并集,交集等,举一个详细的实例说明,用stream流的filter,contains等去实现。
gb4215287的博客
09-12 553
java如何计算两个list的差集,并集,交集等,举一个详细的实例说明,用stream流的filter,contains等去实现。
台湾Viking光頡 ThinFilm Precision Chip Resistor 规格书
台湾Viking光頡电阻的ARSeries是一款精密薄膜贴片电阻,该规格书详细介绍了该系列电阻的产品特性、尺寸和参数。ARSeries电阻主要用于需要高精度和稳定性能的电子应用。以下是ARSeries电阻的一些关键知识点: 1. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值