endurer 原创
2006-09-05 第2版
2006-08-30 第1版
有一位网友的电脑,不定期弹出 hxxp://www.71791.com 等广告窗口。
使用HijackThis(可以到 http://endurer.ys168.com 下载)扫描log,发现可疑项:
/-----------
Logfile of HijackThis v1.99.1
Scan saved at 21:32:36, on 2006-8-29
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:/WINDOWS/System32/Realplayer.exe
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:/Program Files/P4P/sodaie.dll (file missing)
O2 - BHO: shdocvwhlp Class - {BE442802-3911-46E0-B227-076B15A4EAD3} - C:/WINDOWS/System32/mskey16.dll
O4 - HKLM/../Run: [webService] systems.exe
O4 - HKLM/../Run: [Realplayer.exe] C:/WINDOWS/system32/Realplayer.exe
O4 - HKCU/../Run: [Realplayer.exe] C:/WINDOWS/system32/Realplayer.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1
O16 - DPF: {28E0FA88-ABA8-4937-A247-3031F1A11165} (Installer Class) - hxxp://pi.51.net/download/diybar2.cab
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - hxxp://kuaiso.com/toolsbar/Kuaiso.cab
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) - hxxp://tb.sogou.com/DLLoader.cab
O23 - Service: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:/WINDOWS/System32/netstart.exe
-----------/
重启电脑到安全模式
停止并禁用服务:Remote Managements Instrumenta (Remss_Ser)
终止进程:C:/WINDOWS/System32/Realplayer.exe
用 WinRAR找到文件:
/-----------
C:/AUTOEXEC.hta
C:/WINDOWS/systems.exe(DrWeb 报为 Trojan.Click.1363,瑞星报为 Trojan.StartPage.tal)
C:/WINDOWS/System32/brlmon.dll
C:/WINDOWS/System32/Realplayer.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.aqr)
C:/WINDOWS/System32/netstart.exe(瑞星报为 Trojan.StartPage.boa)
-----------/
打包备份后删除。
关闭所有浏览器和文件夹窗口,用HijackThis扫描并修复上面所列项目。
清空IE临时文件夹
清空 c:/Documents and Settings/user/Local Settings/temp(其中 user 为用户名)