endurer 原创

2006-10-13 第3版 补充 Kaspersky 对偶未上报的文件的反应

2006-10-09 第2版 补充 Kaspersky 的反应

2006-10-09 第1

一位网友,新买的机子,没用两天就喊慢,让我帮忙检查。

开机进入桌面后,系统失去响应,好不容易打开任务管理器一看,CPU占用率并不高,但内存占用奇高,想正常关机都不行。

强行重启到带网络的安全模式,到 http://endurer.ys168.com 下载 HijackThis 扫描 log,发现如下可疑项:

Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:/WINDOWS/Logo1_.exe

C:/Program Files/Internet Explorer/3Sy.exe

F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe

O1 - Hosts: 219.139.58.97 www.hao123.com
O1 - Hosts: 219.139.58.97 hao123.com
O1 - Hosts: 219.139.58.97 www.7b.com.cn
O1 - Hosts: 219.139.58.97 7b.com.cn
O1 - Hosts: 219.139.58.97 www.7939.com
O1 - Hosts: 219.139.58.97 www.maohehe.com
O1 - Hosts: 219.139.58.97 www.sina-baidu.com
O1 - Hosts: 219.139.58.97 sina-baidu.com
O1 - Hosts: 219.139.58.97 www.maipao.com
O1 - Hosts: 219.139.58.97 update.virussky.com
O1 - Hosts: 219.139.58.97 down.virussky.com
O1 - Hosts: 219.139.58.97 www.ycdy.com
O1 - Hosts: 219.139.58.97 ycdy.com
O1 - Hosts: 219.139.58.97 www.2tu.cn
O1 - Hosts: 219.139.58.97 2tu.cn
O1 - Hosts: 219.139.58.97 www.91tu.cn
O1 - Hosts: 219.139.58.97 91tu.cn
O1 - Hosts: 219.139.58.97 www.haotop.com
O1 - Hosts: 219.139.58.97 news01.virussky.com
O1 - Hosts: 219.139.58.97 news02.virussky.com
O1 - Hosts: 219.139.58.97 news03.virussky.com
O1 - Hosts: 219.139.58.97 news04.virussky.com
O1 - Hosts: 219.139.58.97 www.an85.com
O1 - Hosts: 219.139.58.97 an85.com
O1 - Hosts: 219.139.58.97 www.360safe.com
O1 - Hosts: 219.139.58.97 360safe.com
O1 - Hosts: 219.139.58.97 dl.360safe.com
O1 - Hosts: 219.139.58.97 bbs.360safe.com
O1 - Hosts: 219.139.58.97 www.gao58.com
O1 - Hosts: 219.139.58.97 count18.51yes.com
O1 - Hosts: 219.139.58.97 www.ok538.com
O1 - Hosts: 219.139.58.97 www.3000sss.com
O1 - Hosts: 219.139.58.97 3000sss.com
O1 - Hosts: 219.139.58.97 www.qq658.com
O1 - Hosts: 219.139.58.97 www.53679.com
O1 - Hosts: 219.139.58.97 www.17587.net
O1 - Hosts: 219.139.58.97 www.17587.com
O1 - Hosts: 219.139.58.97 www.an188.com
O1 - Hosts: 219.139.58.97 cwzwxm.3322.org
O1 - Hosts: 219.139.58.97 www.onediy.net
O1 - Hosts: 219.139.58.97 sohu.fswan.com
O1 - Hosts: 219.139.58.97 www.hewdq.com
O1 - Hosts: 219.139.58.97 go.ipcenter.cn
O1 - Hosts: 219.139.58.97 www.32666.com
O1 - Hosts: 219.139.58.97 show.googleadsenseagent.com
O1 - Hosts: 219.139.58.97 www.2yin.cn
O1 - Hosts: 219.139.58.97 2yin.cn
O1 - Hosts: 219.139.58.97 www.84442.com
O1 - Hosts: 219.139.58.97 www.898333.com
O1 - Hosts: 219.139.58.97 hewdq.com
O1 - Hosts: 219.139.58.97 84442.com
O1 - Hosts: 219.139.58.97 wwww.systeel.com.cn
O1 - Hosts: 219.139.58.97 go.baibaoxiang.cn
O1 - Hosts: 219.139.58.97 www.btbaicai.com
O1 - Hosts: 219.139.58.97 btbaicai.com
O1 - Hosts: 219.139.58.97 www.2t2t.cn
O1 - Hosts: 219.139.58.97 2t2t.cn
O1 - Hosts: 219.139.58.97 3.a.kal.cn
O1 - Hosts: 219.139.58.97 www.222978.com
O1 - Hosts: 219.139.58.97 www.5yaowan.com
O1 - Hosts: 219.139.58.97 show.roogoo.com
O1 - Hosts: 219.139.58.97 ip.alexaanywhere.com

O3 - Toolbar: SearchCar - {BD328E49-38AB-42CB-8EEA-73AA4CD2A6FD} - C:/Program Files/SearchCar/SearchCar.dll

O4 - HKLM/../Run: [qcsszjcz] d:/chenqxms.exe

O4 - HKLM/../Run: [R] C:/WINDOWS/system32/rundll32.exe msprt.dll s

O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll
O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll

从 http://endurer.ys168.com 下载 ProcView 终止进程:
/----------
C:/WINDOWS/Logo1_.exe
C:/Program Files/Internet Explorer/3Sy.exe
----------/

到瑞星网站下载注册表修复工具检修文件关联。

用WinRAR检查下列文件夹中的文件

c:/
------------
drsmartload.exe(Kaspersky 报为 Trojan-Downloader.Win32.Adload.gf,DrWeb 报为 Trojan.DownLoader.13572
MTE3NDI6ODoxNgV2.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.azc

c:/windows 和 c:/windows/system32
-------------
winampa.exe(Kaspersky 报为 Trojan.Win32.Agent.tl,DrWeb 报为 Trojan.DownLoader.12870
nmhxy.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.iu,DrWeb 报为 Trojan.PWS.Legmir.602
nmhxy.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.iu,DrWeb 报为 Trojan.PWS.Legmir.602
0.exe(Kaspersky 报为 Trojan.Win32.Qhost.ic,DrWeb 报为 Trojan.Qhost
mvlib.dll(Kaspersky 报为 Trojan.Win32.BCB.i,DrWeb 报为 Win32.HLLW.MyBot
jxdll.dll(Kaspersky 报为 Trojan-PSW.Win32.Delf.hh
myrx.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia
mywow.dll(Kaspersky 报为 Trojan-PSW.Win32.WOW.jw
myztr.dll(Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.v
ss3.exe
WSD_SOCK32.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.if
xia.exe(Kaspersky 报为 Worm.Win32.Viking.ax
rundl132.exe(注意:32前面的是数字1。Kaspersky 报为 Worm.Win32.Viking.ax
rundll.exe
msprt.dll(Kaspersky 报为 Trojan.Win32.BCB.i
Logo1_.exe(Kaspersky 报为 Email-Worm.Win32.Viking.ax

c:/progam files/internet explorer
-------------
0Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Lineage.amd,DrWeb 报为 Trojan.PWS.Gamania
4Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Delf.hh,DrWeb 报为 Trojan.PWS.Lineage
internat3.exe(Kaspersky 报为 Trojan-PSW.Win32.WOW.gq
internat5.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.axg,DrWeb报为 Trojan.DownLoader.13331
iedw.exe(Kaspersky 报为 Trojan.Win32.Agent.zl,DrWeb 报为 Trojan.Starter.84

系统临时文件夹
-------------
temp.exe(Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.ft
setup_wm.exe(Kaspersky 报为 Trojan.Win32.Agent.zl,DrWeb 报为 Trojan.DownLoader.12618)

IE临时文件夹
-------------
maaa2.exe(Kaspersky 报为 Worm.Win32.Detnat.e

c:/windows/system32/drivers
-------------
modrl.sys(Kaspersky 回复“no malicious code was found in this file”,DrWeb 报为 Trojan.PWS.Hert,瑞星 报为 Rootkit.CallGat.gen

清空IE临时文件夹和系统临时文件夹

打开注册表编辑器,先备份注册表,然后搜索包含rundl132.exe(注意:32前面的是数字1)的项目并删除。

从 http://endurer.ys168.com 下载 并运行 LSPFix,选中选项“I Know What I'm Doing”,然后把左面窗口里的 wsd_sock32.dll 文件移到右面窗口里(不要动其他文件),然后选“Finish”。

关闭所有IE窗口和文件夹窗口,运行Hijackthis扫描并修复上列项目。

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

遭遇Viking新变种 传奇 魔兽盗号木马等 第3版相关推荐

  1. 遭遇Viking新变种、传奇、魔兽盗号木马等(第3版)

    endurer 原创 2006-10-13 第3版 补充 Kaspersky 对偶未上报的文件的反应 2006-10-09 第2版 补充 Kaspersky 的反应 2006-10-09 第1版 一位 ...

  2. 遭遇灰鸽子2006、魔兽盗号木马等

    endurer 原创 2006-08-31 第1版 有一位网友的电脑,双击桌面图标,显示出来的却是图标的属性窗口.瑞星实时监控也无法打开. 使用HijackThis(可以到 hxxp://endure ...

  3. 一款魔兽盗号木马分析

    这款魔兽盗号木马是模仿"多玩魔兽盒子"欺骗用户从而进行盗号的,请看"多玩魔兽盒子"官方网站:http://wow.duowan.com/wowbox1/, 木马 ...

  4. 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)

    endurer 原创 2006-07-20 第1版 昨天(7月19日)晚上十点多,一位朋友说这几天他的电脑瑞星开机自检总发现病毒Trojan.PSW.Agent.adw.Trojan.PSW.Zhen ...

  5. java能盗号吗_CVE-2017-8759漏洞新利用:Java Keylogger盗号木马分析

    0×2 木马行为分析 1. 恶意word文档行为分析 该恶意word文件中除了一个"链接对象"外,没有其它任何内容.在未修复CVE-2017-8759漏洞的机器上双击打开此word ...

  6. 再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)

    endurer 原创 2006-08-13 第2版 补充一个漏网的 2006-08-12 第1版 今早一上网,就有网友求助.他电脑屏幕右下角的瑞星实时监控小伞图标不见了,手动启动也不行. 通过QQ远程 ...

  7. ChinaJoy揭晓十大网游盗号木马黑榜

    7月12日,第5届ChinaJoy游戏展在上海拉开帷幕,为网游爱好者奉献了一场精彩的饕餮大餐.而在网络游戏已经成为一种时尚的今天,网游盗号问题也随之愈演愈烈,屡禁不止.很多游戏玩家也因此蒙受了严重的损 ...

  8. 国家计算机病毒中心发现“网游大盗”新变种

    国家计算机病毒应急处理中心通过对互联网的监测发现,近期出现"网游大盗"新变种TrojanPSW.OnlineGames.LK,它是一个盗号木马程序,专门盗取网络游戏玩家的游戏账号. ...

  9. 一款挂靠QQ的盗号木马清理记

    由于电脑配置不高,开了杀毒软件后比较卡. 就关了杀毒软件,然后浏览了几个网站,突然,硬盘狂闪,ie出错退出.查看任务管理器,发现不明进程出现.很快,不明进程又消失了. 当时一个感觉就是,中标了.浏览器 ...

最新文章

  1. runtime实践之Method Swizzling
  2. LeetCode-334. Increasing Triplet Subsequence
  3. Java IO流-File类
  4. 先查询再插入的存储过程怎么写_谈一谈 InnoDB(1) - 底层存储文件结构
  5. php 错误记录_PHP中把错误日志保存在系统日志中(Windows系统)
  6. 数据结构栈和队列以及常见算法题
  7. python安装oracle驱动_python安装oracle扩展及数据库连接方法
  8. Linux入门笔记——cat、sort、uniq、wc、head、tail、tee
  9. conda移植环境到另一台电脑
  10. python mssql bulk_SqlBulkCopy:批量插入SqlServer的利器
  11. 对人工智能产品发展的几点认识
  12. 孙鑫MFC笔记之十三--多线程编程
  13. android音频杂音问题_如何消除音频中的噪声?用这个简单好用的音频剪辑软件就够了...
  14. java web聊天室私聊map_javaweb聊天小项目
  15. jq ajax input file,基于jq的input file文件上传
  16. 如何删除ie浏览器缓存文件、缓存js
  17. Linux命令学习(1) cat命令详解
  18. 2022读书感第一篇《小王子》
  19. 装机注意事项:一次装机差点翻车的经历
  20. Problem--133A--Codeforces--A. HQ9+

热门文章

  1. 每个女生都有一个不是男朋友的男朋友
  2. flv.js 是一个使用纯JavaScript编写的FLV(HTML5 Flash Video)播放器
  3. Gatsby CLI命令说明
  4. 读书笔记:传导电流密度
  5. unity NavMesh网格寻路
  6. 【转载】林萧教会你--如何做到招聘要求中的“要有扎实的Java基础”。
  7. 本科生学深度学习-大白话说清楚CNN,没有公式
  8. 三菱R系列PLC程序 全部采用ST语言编写,内部使用函数块和结构体,程序思路清晰
  9. 【计算机网络】【网络层:控制平面-5】
  10. HTML5实现一种很常见的网页布局设计(导航栏在左侧)