遭遇Viking新变种 传奇 魔兽盗号木马等 第3版
endurer 原创
2006-10-13 第3版 补充 Kaspersky 对偶未上报的文件的反应
2006-10-09 第2版 补充 Kaspersky 的反应
2006-10-09 第1版
一位网友,新买的机子,没用两天就喊慢,让我帮忙检查。
开机进入桌面后,系统失去响应,好不容易打开任务管理器一看,CPU占用率并不高,但内存占用奇高,想正常关机都不行。
强行重启到带网络的安全模式,到 http://endurer.ys168.com 下载 HijackThis 扫描 log,发现如下可疑项:
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
C:/WINDOWS/Logo1_.exe
C:/Program Files/Internet Explorer/3Sy.exe
F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe
O1 - Hosts: 219.139.58.97 www.hao123.com
O1 - Hosts: 219.139.58.97 hao123.com
O1 - Hosts: 219.139.58.97 www.7b.com.cn
O1 - Hosts: 219.139.58.97 7b.com.cn
O1 - Hosts: 219.139.58.97 www.7939.com
O1 - Hosts: 219.139.58.97 www.maohehe.com
O1 - Hosts: 219.139.58.97 www.sina-baidu.com
O1 - Hosts: 219.139.58.97 sina-baidu.com
O1 - Hosts: 219.139.58.97 www.maipao.com
O1 - Hosts: 219.139.58.97 update.virussky.com
O1 - Hosts: 219.139.58.97 down.virussky.com
O1 - Hosts: 219.139.58.97 www.ycdy.com
O1 - Hosts: 219.139.58.97 ycdy.com
O1 - Hosts: 219.139.58.97 www.2tu.cn
O1 - Hosts: 219.139.58.97 2tu.cn
O1 - Hosts: 219.139.58.97 www.91tu.cn
O1 - Hosts: 219.139.58.97 91tu.cn
O1 - Hosts: 219.139.58.97 www.haotop.com
O1 - Hosts: 219.139.58.97 news01.virussky.com
O1 - Hosts: 219.139.58.97 news02.virussky.com
O1 - Hosts: 219.139.58.97 news03.virussky.com
O1 - Hosts: 219.139.58.97 news04.virussky.com
O1 - Hosts: 219.139.58.97 www.an85.com
O1 - Hosts: 219.139.58.97 an85.com
O1 - Hosts: 219.139.58.97 www.360safe.com
O1 - Hosts: 219.139.58.97 360safe.com
O1 - Hosts: 219.139.58.97 dl.360safe.com
O1 - Hosts: 219.139.58.97 bbs.360safe.com
O1 - Hosts: 219.139.58.97 www.gao58.com
O1 - Hosts: 219.139.58.97 count18.51yes.com
O1 - Hosts: 219.139.58.97 www.ok538.com
O1 - Hosts: 219.139.58.97 www.3000sss.com
O1 - Hosts: 219.139.58.97 3000sss.com
O1 - Hosts: 219.139.58.97 www.qq658.com
O1 - Hosts: 219.139.58.97 www.53679.com
O1 - Hosts: 219.139.58.97 www.17587.net
O1 - Hosts: 219.139.58.97 www.17587.com
O1 - Hosts: 219.139.58.97 www.an188.com
O1 - Hosts: 219.139.58.97 cwzwxm.3322.org
O1 - Hosts: 219.139.58.97 www.onediy.net
O1 - Hosts: 219.139.58.97 sohu.fswan.com
O1 - Hosts: 219.139.58.97 www.hewdq.com
O1 - Hosts: 219.139.58.97 go.ipcenter.cn
O1 - Hosts: 219.139.58.97 www.32666.com
O1 - Hosts: 219.139.58.97 show.googleadsenseagent.com
O1 - Hosts: 219.139.58.97 www.2yin.cn
O1 - Hosts: 219.139.58.97 2yin.cn
O1 - Hosts: 219.139.58.97 www.84442.com
O1 - Hosts: 219.139.58.97 www.898333.com
O1 - Hosts: 219.139.58.97 hewdq.com
O1 - Hosts: 219.139.58.97 84442.com
O1 - Hosts: 219.139.58.97 wwww.systeel.com.cn
O1 - Hosts: 219.139.58.97 go.baibaoxiang.cn
O1 - Hosts: 219.139.58.97 www.btbaicai.com
O1 - Hosts: 219.139.58.97 btbaicai.com
O1 - Hosts: 219.139.58.97 www.2t2t.cn
O1 - Hosts: 219.139.58.97 2t2t.cn
O1 - Hosts: 219.139.58.97 3.a.kal.cn
O1 - Hosts: 219.139.58.97 www.222978.com
O1 - Hosts: 219.139.58.97 www.5yaowan.com
O1 - Hosts: 219.139.58.97 show.roogoo.com
O1 - Hosts: 219.139.58.97 ip.alexaanywhere.com
O3 - Toolbar: SearchCar - {BD328E49-38AB-42CB-8EEA-73AA4CD2A6FD} - C:/Program Files/SearchCar/SearchCar.dll
O4 - HKLM/../Run: [qcsszjcz] d:/chenqxms.exe
O4 - HKLM/../Run: [R] C:/WINDOWS/system32/rundll32.exe msprt.dll s
O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll
O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll
从 http://endurer.ys168.com 下载 ProcView 终止进程:
/----------
C:/WINDOWS/Logo1_.exe
C:/Program Files/Internet Explorer/3Sy.exe
----------/
到瑞星网站下载注册表修复工具检修文件关联。
用WinRAR检查下列文件夹中的文件
c:/
------------
drsmartload.exe(Kaspersky 报为 Trojan-Downloader.Win32.Adload.gf,DrWeb 报为 Trojan.DownLoader.13572)
MTE3NDI6ODoxNgV2.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.azc)
c:/windows 和 c:/windows/system32
-------------
winampa.exe(Kaspersky 报为 Trojan.Win32.Agent.tl,DrWeb 报为 Trojan.DownLoader.12870)
nmhxy.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.iu,DrWeb 报为 Trojan.PWS.Legmir.602)
nmhxy.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.iu,DrWeb 报为 Trojan.PWS.Legmir.602)
0.exe(Kaspersky 报为 Trojan.Win32.Qhost.ic,DrWeb 报为 Trojan.Qhost)
mvlib.dll(Kaspersky 报为 Trojan.Win32.BCB.i,DrWeb 报为 Win32.HLLW.MyBot)
jxdll.dll(Kaspersky 报为 Trojan-PSW.Win32.Delf.hh)
myrx.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia)
mywow.dll(Kaspersky 报为 Trojan-PSW.Win32.WOW.jw)
myztr.dll(Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.v)
ss3.exe
WSD_SOCK32.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.if)
xia.exe(Kaspersky 报为 Worm.Win32.Viking.ax)
rundl132.exe(注意:32前面的是数字1。Kaspersky 报为 Worm.Win32.Viking.ax)
rundll.exe
msprt.dll(Kaspersky 报为 Trojan.Win32.BCB.i)
Logo1_.exe(Kaspersky 报为 Email-Worm.Win32.Viking.ax)
c:/progam files/internet explorer
-------------
0Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Lineage.amd,DrWeb 报为 Trojan.PWS.Gamania)
4Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Delf.hh,DrWeb 报为 Trojan.PWS.Lineage)
internat3.exe(Kaspersky 报为 Trojan-PSW.Win32.WOW.gq)
internat5.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.axg,DrWeb报为 Trojan.DownLoader.13331)
iedw.exe(Kaspersky 报为 Trojan.Win32.Agent.zl,DrWeb 报为 Trojan.Starter.84)
系统临时文件夹
-------------
temp.exe(Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.ft)
setup_wm.exe(Kaspersky 报为 Trojan.Win32.Agent.zl,DrWeb 报为 Trojan.DownLoader.12618)
IE临时文件夹
-------------
maaa2.exe(Kaspersky 报为 Worm.Win32.Detnat.e)
c:/windows/system32/drivers
-------------
modrl.sys(Kaspersky 回复“no malicious code was found in this file”,DrWeb 报为 Trojan.PWS.Hert,瑞星 报为 Rootkit.CallGat.gen)
清空IE临时文件夹和系统临时文件夹
打开注册表编辑器,先备份注册表,然后搜索包含rundl132.exe(注意:32前面的是数字1)的项目并删除。
从 http://endurer.ys168.com 下载 并运行 LSPFix,选中选项“I Know What I'm Doing”,然后把左面窗口里的 wsd_sock32.dll 文件移到右面窗口里(不要动其他文件),然后选“Finish”。
关闭所有IE窗口和文件夹窗口,运行Hijackthis扫描并修复上列项目。
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow
遭遇Viking新变种 传奇 魔兽盗号木马等 第3版相关推荐
- 遭遇Viking新变种、传奇、魔兽盗号木马等(第3版)
endurer 原创 2006-10-13 第3版 补充 Kaspersky 对偶未上报的文件的反应 2006-10-09 第2版 补充 Kaspersky 的反应 2006-10-09 第1版 一位 ...
- 遭遇灰鸽子2006、魔兽盗号木马等
endurer 原创 2006-08-31 第1版 有一位网友的电脑,双击桌面图标,显示出来的却是图标的属性窗口.瑞星实时监控也无法打开. 使用HijackThis(可以到 hxxp://endure ...
- 一款魔兽盗号木马分析
这款魔兽盗号木马是模仿"多玩魔兽盒子"欺骗用户从而进行盗号的,请看"多玩魔兽盒子"官方网站:http://wow.duowan.com/wowbox1/, 木马 ...
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
endurer 原创 2006-07-20 第1版 昨天(7月19日)晚上十点多,一位朋友说这几天他的电脑瑞星开机自检总发现病毒Trojan.PSW.Agent.adw.Trojan.PSW.Zhen ...
- java能盗号吗_CVE-2017-8759漏洞新利用:Java Keylogger盗号木马分析
0×2 木马行为分析 1. 恶意word文档行为分析 该恶意word文件中除了一个"链接对象"外,没有其它任何内容.在未修复CVE-2017-8759漏洞的机器上双击打开此word ...
- 再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)
endurer 原创 2006-08-13 第2版 补充一个漏网的 2006-08-12 第1版 今早一上网,就有网友求助.他电脑屏幕右下角的瑞星实时监控小伞图标不见了,手动启动也不行. 通过QQ远程 ...
- ChinaJoy揭晓十大网游盗号木马黑榜
7月12日,第5届ChinaJoy游戏展在上海拉开帷幕,为网游爱好者奉献了一场精彩的饕餮大餐.而在网络游戏已经成为一种时尚的今天,网游盗号问题也随之愈演愈烈,屡禁不止.很多游戏玩家也因此蒙受了严重的损 ...
- 国家计算机病毒中心发现“网游大盗”新变种
国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现"网游大盗"新变种TrojanPSW.OnlineGames.LK,它是一个盗号木马程序,专门盗取网络游戏玩家的游戏账号. ...
- 一款挂靠QQ的盗号木马清理记
由于电脑配置不高,开了杀毒软件后比较卡. 就关了杀毒软件,然后浏览了几个网站,突然,硬盘狂闪,ie出错退出.查看任务管理器,发现不明进程出现.很快,不明进程又消失了. 当时一个感觉就是,中标了.浏览器 ...
最新文章
- runtime实践之Method Swizzling
- LeetCode-334. Increasing Triplet Subsequence
- Java IO流-File类
- 先查询再插入的存储过程怎么写_谈一谈 InnoDB(1) - 底层存储文件结构
- php 错误记录_PHP中把错误日志保存在系统日志中(Windows系统)
- 数据结构栈和队列以及常见算法题
- python安装oracle驱动_python安装oracle扩展及数据库连接方法
- Linux入门笔记——cat、sort、uniq、wc、head、tail、tee
- conda移植环境到另一台电脑
- python mssql bulk_SqlBulkCopy:批量插入SqlServer的利器
- 对人工智能产品发展的几点认识
- 孙鑫MFC笔记之十三--多线程编程
- android音频杂音问题_如何消除音频中的噪声?用这个简单好用的音频剪辑软件就够了...
- java web聊天室私聊map_javaweb聊天小项目
- jq ajax input file,基于jq的input file文件上传
- 如何删除ie浏览器缓存文件、缓存js
- Linux命令学习(1) cat命令详解
- 2022读书感第一篇《小王子》
- 装机注意事项:一次装机差点翻车的经历
- Problem--133A--Codeforces--A. HQ9+
热门文章
- 每个女生都有一个不是男朋友的男朋友
- flv.js 是一个使用纯JavaScript编写的FLV(HTML5 Flash Video)播放器
- Gatsby CLI命令说明
- 读书笔记:传导电流密度
- unity NavMesh网格寻路
- 【转载】林萧教会你--如何做到招聘要求中的“要有扎实的Java基础”。
- 本科生学深度学习-大白话说清楚CNN,没有公式
- 三菱R系列PLC程序 全部采用ST语言编写,内部使用函数块和结构体,程序思路清晰
- 【计算机网络】【网络层:控制平面-5】
- HTML5实现一种很常见的网页布局设计(导航栏在左侧)