遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(三)
来源:互联网 发布:c语言中flag=1 编辑:程序博客网 时间:2024/04/30 21:23
endurer 原创
2006-07-21 第1版
这一部分回忆一下修复过程。
重启电脑,按F8键,选择以安全模式启动,不料出错:
-------------
因为以下文件的损失或者丢失,Windows无法启动
<Windows root>/system32/ntoskrnl.exe
请重新安装以上文件的拷贝。
-------------
但正常模式可以启动。
用瑞星注册修复工具修复EXE文件关联
用procview终止进程 C:/WINDOWS/smss.exe
用WinRAR找到瑞星报告的病毒文件和Hijackthis中log中发现的可疑文件:
-------------
C:/PROGRA~1/svhost32.exe
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/system32/1.exe
C:/WINDOWS/rundl132.exe(注意文件名中3前面的是数字1)
C:/WINDOWS/system32/WinSvc.exe
C:/WINDOWS/system32/SVCH0ST.exe(注意文件名中H和S之间的是数字0)
-------------
用压缩软件打包备份,加上.del扩展名。
没有找到C:/WINDOWS/system32/ravseidll.exe
再检查 C:/WINDOWS 和 C:/WINDOWS/system32,发现如下可疑的文件:
-------------
C:/WINDOWS/0Sy.exe
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/1.com
C:/WINDOWS/finder.com
C:/WINDOWS/explorer.com
C:/WINDOWS/ExERoute.exe
C:/WINDOWS/Q36155.LOG
C:/WINDOWS/KB684745M.LOG
C:/WINDOWS/system32/ztdll.dll
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/NTdHcP.exe
C:/WINDOWS/system32/command.pif
C:/WINDOWS/system32/regedit.com
C:/WINDOWS/system32/finder.com
C:/WINDOWS/system32/rundll32.com
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/regedit.com
C:/WINDOWS/system32/svhost32.exe
C:/WINDOWS/system32/.pif
C:/WINDOWS/system32/2.dll
C:/WINDOWS/system32/reg.exe
C:/WINDOWS/system32/reg.bat
C:/WINDOWS/system32/a.exe
-------------
与
遭遇Trojan.PSW.Lmir等病毒(第4版)
http://endurer.blogchina.com/4634161.html
清除盗游戏帐号的密西木马变种(Trojan.PSW.Misc.r)等
http://endurer.blogchina.com/4968800.html
中遇到的相似,也用压缩软件打包备份,加上.del扩展名。
用HijackThis修复发现的可疑项目。
分别用瑞星和毒霸的威金专杀工具扫描,都有没有发现。
把瑞星没报的可疑程序上报给瑞星。
重启电脑,按F8键,选择以安全模式启动,这次顺利进入安全模式。
但检查发现,前面修复的项目和改过名的病毒和可疑文件又出现了!
按上面的步骤重新修复,不过对再次出现病毒和可疑文件是直接删除。其中在用procview终止进程 C:/WINDOWS/smss.exe 时,发现C:/WINDOWS/Q36155.LOG 和 C:/WINDOWS/system32/2.dll 注入了很多进程,用 IceSword (你可以到http://endurer.ys168.com下载)来让它们退出。
检查磁盘上的EXE文件,凡是图标变得粗糙的,能删除的都删除了。
其间在d:/发现两个文件:
d:/autorun.inf(隐藏的)
内容为:
----------------------
[autorun]
OPEN=D:/pagefile.pif
----------------------
d:/pagefile.pif(Kaspersky报为Trojan-PSW.Win32.WOW.do)
打包备份后删除。
在检修过程中,经常 用瑞星注册修复工具检查,发现病毒会有时会修复注册表,修改EXE文件关联,禁用任务管理器和注册表编辑器。为 c:/windows/smss.exe 加启动项。
20日晚上,把瑞星升级到最新版本,再手动扫描,结果如下:
-------------
病毒名称 处理结果 发现日期 路径文件病毒来源
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:25 C:/Program Files/Common Files/iexplore.pif本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:25 C:/Program Files/Internet Explorer/iexplore.com本机
Trojan.PSW.ZhengTu.cl 删除成功 2006-07-20 21:21 C:/WINDOWS/0Sy.exe.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:21 C:/WINDOWS/SMSS.EXE.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:21 C:/WINDOWS/1.com.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:21 C:/WINDOWS/finder.com.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:21 C:/WINDOWS/explorer.com.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:21 C:/WINDOWS/ExERoute.exe.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:17 C:/WINDOWS/Debug/DebugProgram.exe本机
Trojan.PSW.ZhengTu.cl 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/ztdll.dll.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/MSCONFIG.COM.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/command.pif.del本机
Trojan.DL.Small.msg 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/SVCH0ST.exe.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/regedit.com.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/finder.com.del本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/rundll32.com.del 本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:16 C:/WINDOWS/system32/dxdiag.com.del 本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:15 C:/WINDOWS/system32/command.pif 本机
Trojan.PSW.LMir.ath 删除成功 2006-07-20 21:15 C:/WINDOWS/system32/regedit.com 本机
-------------
发现前面手工检修时漏掉了三个文件:
-------------
C:/Program Files/Common Files/iexplore.pif
C:/Program Files/Internet Explorer/iexplore.com
C:/WINDOWS/Debug/DebugProgram.exe
-------------
看来只检查 C:/WINDOWS 和 C:/WINDOWS/system32 是不够的。
再测试d:/pagefile.pif,瑞星报为Trojan.PSW.LMir.ath。
顺便提一下, 在检修过程中,瑞星的实时监控程序文件 RavMon.exe 等可能也被感染了,手动运行还是打不开瑞星监控中心。
不过瑞星杀毒程序还可以运行,在线升级后,瑞星自动检验并重新下载了RavMon.exe 等几个程序文件,瑞星监控中心又可以正常工作了。
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(三)
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(一)
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(二)
- 遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等1
- 遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2
- 遭遇Worm.Win32.Viking.lm/Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等1
- 遭遇Worm.Win32.Viking.lm/Worm.Viking.tc,Trojan.PSW.Win32.OnlineGames等2
- 遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马
- 遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
- 遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等1
- 遭遇Trojan-Spy.Win32.Delf.uv,Trojan.PSW.Win32.XYOnline,Trojan.PSW.Win32.ZhengTu等2
- 遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等/v2
- 遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等1
- 遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2
- 遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等1
- 遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等2
- 遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1
- 对CSDN's Blog的些许意见
- 使用ultraedit和cl编译器打造简易c/c++开发环境
- 忙...
- ASP.NET 2.0 本地化功能:本地化 Web 应用程序的新方法
- 第五章笔记——《TC++PL》
- 遭遇Viking/威金新变种、Trojan-PSW.Win32.WOW.do等(三)
- 刚刚看了遍HTML语言的教程
- 扎金花
- 网页类型Mime Types
- 那时候我们除了会写软件 什么也不会做(丁磊2006于母校演讲)
- 一个老程序员的心里话说到人的心坎
- 你的公司叫什么?著名IT公司名字的来历
- 用 QT Designer 來快速學習 QT
- 事务日志处理