一位网友的电脑疑似是中了Viking、灰鸽子等

endurer 原创

2007-03-22 第1版 

今天收到一位网友的email，没说明电脑出现了什么问题，只有 HijackThis 的日志。

在日志中发现如下可疑项：

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:09:06, 日期 2007-3-21
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - 启动项HKLM//Run: [winform] E:/WINDOWS/winform.exe
O4 - 启动项HKLM//Run: [cmdbcs] E:/WINDOWS/cmdbcs.exe

O4 - 启动项HKLM//Run: [wsttrs] E:/WINDOWS/wsttrs.exe

O4 - 启动项HKCU//Run: [System Boot Check] C:/windows/baba.exe
O4 - 启动项HKCU//Run: [set] E:/WINDOWS/servicea.exe
O4 - 启动项HKCU//Run: [6] E:/WINDOWS/iexpl0ra.exe
O4 - 启动项HKCU//Run: [c] E:/WINDOWS/c0nima.exe
O4 - 启动项HKCU//Run: [gf73z81wd] E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
O4 - 启动项HKCU//Run: [2zgemexrk] E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe

O23 - NT 服务: internet - Unknown owner - E:/WINDOWS/nntv.exe

O23 - NT 服务: Workstation  - Unknown owner - E:/WINDOWS/services.exe

 

看到O4组的启动项，有一些和前天中了Worm.Viking.pk的网友的电脑中发现的相似。见：

昨天才提醒，今天就有网友点QQ信息中的网址，中Worm.Viking.pk了
http://endurer.bokee.com/6174316.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html

修复建议：

(下列修复操作可参考【系统修复系列之】基本操作索引 　
http://endurer.blogchina.com/2591241.html）

重启电脑到安全模式

停止并禁用服务：
internet
Workstation

用WinRAR找到文件：

E:/WINDOWS/winform.exe
E:/WINDOWS/cmdbcs.exe
E:/WINDOWS/wsttrs.exe
C:/windows/baba.exe
E:/WINDOWS/servicea.exe
E:/WINDOWS/iexpl0ra.exe
E:/WINDOWS/c0nima.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe
E:/WINDOWS/nntv.exe
E:/WINDOWS/services.exe

打包备份后删除。

用HijackThis修复上列可疑项

清空IE临时文件夹

清空 c:/windows/prefetch

重启电脑，把 E:/WINDOWS/services.exe 等文件的压缩包作为email附件发到endurer@163.com。