分享一下我老师大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
endurer 原创
2006-03-16 第4版 补充Kaspersky对a.exe的反应。
2006-03-14 第3版 补充江民回复:setup.exe不是病毒。
2006-03-11 第2版 补充了具体处理过程
2006-03-10 第1版
昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。
我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助手的系统修复功能,还是不行,让我帮忙看看。
朋友的电脑比较老,使用的是Win 98。进入桌面后不断提示Explorer.exe出错,想正常关机都不行。
按Reset按钮,强制重新启动,按F8键,选择Safe Mode,进入安全模式,不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在,扫描log,发现如下可疑或需要修复的项目:
Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)
Running processes:
C:/WINDOWS/WINLOGON.EXE
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL
O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:/PROGRAM FILES/PCDOWNLOADER/BHOPLUGIN.DLL
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:/WINDOWS/DOWNLOADED PROGRAM FILES/CNSHOOK.DLL
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/rundll32.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:/PROGRAM FILES/YISOU/YISOU.DLL/232
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:/WINDOWS/SYSTEM/DLMain.dll
原来朋友是用雅虎助手来修复的,真是“与虎谋皮”。
到控制面板的“添加删除程序”里想把雅虎助手卸载,不想这东东居然要在线卸载,而Win 98的安全模式是不连网的。先把IE-BAR等几个可疑的项目卸掉了。
在log中,进程C:/WINDOWS/WINLOGON.EXE出现的有点怪,因为安全模式下
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
这项不会被系统执行。
找到
C:/WINDOWS/WINLOGON.EXE
C:/WINDOWS/ExERoute.exe
C:/WINDOWS/SYSTEM/rundll32.com
C:/WINDOWS/SYSTEM/regedit.com
C:/WINDOWS/SYSTEM/Msconfig.com
C:/WINDOWS/SYSTEM/finder.com
C:/WINDOWS/SYSTEM/dxdiag.com
C:/WINDOWS/TEMP/a.exe
C:/WINDOWS/TEMP/b.exe
C:/WINDOWS/finder.com
C:/WINDOWS/Internet.exe
C:/WINDOWS/system.exe
C:/WINDOWS/Winlogon.exe
等可疑文件,为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator,打包备份后删除。
接着问题就来了,运行程序时提示找不到C:/WINDOWS/ExERoute.exe。
原来C:/WINDOWS/ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe!
这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老,无USB接口,用软盘拷来瑞星注册表修复工具,不料软驱读软盘出错!
只好手工到注册表里修改,把regedit.exe改成regedit.com,进入注册表编辑器,修复了EXE文件关联。
用HijackThis修复了前面所列的项目。
重新启动电脑,这次进入Windows不再提示explorer.exe出错了,
运行瑞星杀毒助手,使用瑞星在线免费扫描,发现35个染毒文件:
文件名 病毒名
C:/WINDOWS/SYSTEM/rundll32.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/MSCONFIG.COM Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/finder.com Trojan.PSW.Lmir.jag(Kaserpersky报为Trojan-PSW.Win32.Lmir.aov)
C:/WINDOWS/SYSTEM/dxdiag.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/regedit.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/command.pif Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/rundll32.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/ca.exe>>b.EXE Trojan.PSW.Lmir.jbg(Kaspersky实时监控不报,手动扫描报为Trojan-PSW.Win32.Lmir.aoe)
C:/WINDOWS/SYSTEM/qq.exe.bak Trojan.PSW.LMir.jdc(Kaspersky报为Trojan-PSW.Win32.Lmir.aqo)
C:/WINDOWS/SYSTEM/DLMon.dll Trojan.DL.Agent
C:/WINDOWS/SYSTEM/DLMain.dll.del Trojan.DL.Agent(Kaspersky报为Trojan-Downloader.Win32.Agent.ue)
C:/WINDOWS/SYSTEM/regedit.com.bak Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/Msconfig.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/finder.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/dxdiag.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/TEMP/a.exe.bak Dropper.PSW.Lmir.agd(Kaspersky报为Trojan-PSW.Win32.Lmir.ash)
C:/WINDOWS/TEMP/b.exe.bak Trojan.PSW.Lmir.jje
C:/WINDOWS/Temporary Internet Files/Content.IE5/OHM7O5Y7/a[1].exe Dropper.PSW.Lmir.agd
C:/WINDOWS/Temporary Internet Files/Content.IE5/KBLFIAZT/qq[2].hta Script.Taorao.a (Kasersky报为Trojan-Dropper.VBS.Taorao)
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/9[1].exe Trojan.PSW.LMir.jdc
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/10[1].exe>>b.EXE Trojan.PSW.Lmir.jbg
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/11[1].exe Trojan.PSW.LMir.jdc
C:/WINDOWS/Temporary Internet Files/Content.IE5/SNXFUIN1/b[1].exe Trojan.PSW.Lmir.jje
C:/WINDOWS/72896.DLL Trojan.PSW.LMir.jdc
C:/WINDOWS/explorer.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/finder.com Trojan.PSW.Lmir.jag
C:/WINDOWS/explorer.com Trojan.PSW.Lmir.jag
C:/WINDOWS/1.com.bak Trojan.PSW.Lmir.jag
C:/WINDOWS/finder.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/Internet.exe.del Trojan.PSW.LMir.jdc
C:/WINDOWS/system.exe.del>>Unpack Trojan.Clicker.VB.cd(Kaspersky报为Trojan.Win32.VB.aat)
C:/WINDOWS/1.com Trojan.PSW.Lmir.jag
C:/WINDOWS/Winlogon.exe.del Trojan.PSW.Lmir.jag
C:/WINDOWS/ExERoute.exe.bak Trojan.PSW.Lmir.jag
C:/Program Files/Common Files/iexplore.pif Trojan.PSW.Lmir.jag
C:/Program Files/Internet Explorer/iexplore.com Trojan.PSW.Lmir.jag
都用瑞星杀毒助手解决了。
发现原来被改名的病毒文件又出来了,看看关联了.EXE文件的ExERoute.exe每次运行时都会检查病毒文件,不存在则重新创建。
由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!
看来以后运行系统内置命令还得指明扩展名。
另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数。
另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper
分享一下我老师大神的人工智能教程。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
