一位网友的电脑疑似是中了Viking、灰鸽子等

endurer 原创

2007-03-22 第1版 

今天收到一位网友的email,没说明电脑出现了什么问题,只有 HijackThis 的日志。

在日志中发现如下可疑项:


HijackThis_zww汉化版扫描日志 V1.99.1
保存于      21:09:06, 日期 2007-3-21
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - 启动项HKLM//Run: [winform] E:/WINDOWS/winform.exe
O4 - 启动项HKLM//Run: [cmdbcs] E:/WINDOWS/cmdbcs.exe

O4 - 启动项HKLM//Run: [wsttrs] E:/WINDOWS/wsttrs.exe

O4 - 启动项HKCU//Run: [System Boot Check] C:/windows/baba.exe
O4 - 启动项HKCU//Run: [set] E:/WINDOWS/servicea.exe
O4 - 启动项HKCU//Run: [6] E:/WINDOWS/iexpl0ra.exe
O4 - 启动项HKCU//Run: [c] E:/WINDOWS/c0nima.exe
O4 - 启动项HKCU//Run: [gf73z81wd] E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
O4 - 启动项HKCU//Run: [2zgemexrk] E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe

O23 - NT 服务: internet - Unknown owner - E:/WINDOWS/nntv.exe

O23 - NT 服务: Workstation  - Unknown owner - E:/WINDOWS/services.exe

 

看到O4组的启动项,有一些和前天中了Worm.Viking.pk的网友的电脑中发现的相似。见:

昨天才提醒,今天就有网友点QQ信息中的网址,中Worm.Viking.pk了
http://endurer.bokee.com/6174316.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html


修复建议:

(下列修复操作可参考【系统修复系列之】基本操作索引  
http://endurer.blogchina.com/2591241.html

重启电脑到安全模式

停止并禁用服务:
internet
Workstation

用WinRAR找到文件:

E:/WINDOWS/winform.exe
E:/WINDOWS/cmdbcs.exe
E:/WINDOWS/wsttrs.exe
C:/windows/baba.exe
E:/WINDOWS/servicea.exe
E:/WINDOWS/iexpl0ra.exe
E:/WINDOWS/c0nima.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe
E:/WINDOWS/nntv.exe
E:/WINDOWS/services.exe

打包备份后删除。

用HijackThis修复上列可疑项

清空IE临时文件夹

清空 c:/windows/prefetch

重启电脑,把 E:/WINDOWS/services.exe 等文件的压缩包作为email附件发到endurer@163.com

 

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值