电脑软硬件应用网
当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文
CFEDAC5E.dll,CFEDAC5E.dat(Trojan-PSW.Win32.OnLineGames.mu)的清除方法
CFEDAC5E.dll,CFEDAC5E.dat(Trojan-PSW.Win32.OnLineGames.mu)的清除方法
2007-4-19 8:11:38  文/teYqiu   出处:天下无毒   
----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------

本文的眼:IFEO劫持 比比皆是...

实战案例

问题:某同事WL,今天告诉我他的卡巴斯基启动不了,CAD也起不来。过去一看,发现很多EXE点击无反应,即使改成.com后缀也不行。一下就想到了 IFEO劫持,打开注册表一看(还好丫的没屏蔽regedit.exe),蔚为壮观,稍微有些名气的都挂了...如卡巴、瑞星、360safe等,hijackthis.exe也不能幸免。。

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR]
"Debugger"="C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO\\CFEDAC5E.dat"

既然普通的删除工具不管用,只有祭出 XDELBOX, CMD下:C:\\PROGRA~1\\COMMON~1\\MICROS~1\\MSINFO用ATTRIB看到有两个 SHR 属性的文件,CFEDAC5E.dll和CFEDAC5E.dat。

操作部分:使用XDELBOX先填入这两个(CFEDAC5E.dll和CFEDAC5E.dat),立即重启后删除,发现 SRENG能用了,又删了几个灰鸽子和小木马。

将病毒添加的IFEO劫持条目全部删除(上面方框中的红字部分),重启后卡巴恢复了活力,扫描内存中的病毒,54个全部成功杀掉... 打ANI漏洞补丁,升级最新的XP关键更新,收工,感谢云云不再赘述。。。

将样本发到我机子上用卡巴一扫居然是Trojan-PSW.Win32.OnLineGames.mu

卡巴报毒显示:

 已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.mu 文件: F:\Documents and Settings\qiu\桌面\临时【样本】\wangLi\CFEDAC5E.dll
已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.mu 文件: F:\Documents and Settings\qiu\桌面\临时【样本】\wangLi\CFEDAC5E.dat/UPX

以上提到的相关工具可到本站病毒处理相关软件下载页面下载,下载地址: http://down.45its.com(SREng 也可到该地址下载)
  • 上一篇文章:

  • 下一篇文章:
    • 最新热点 最新推荐 相关文章
    删不掉的"淘宝图标"来侵 教你删"淘宝…
    微软高危漏洞"快捷方式自动执行"手工…
    acad.vlx删除方法
    360se.exe病毒清除解决方案
    regedit32.exe 病毒清除解决方案
    3874jr98.exe,long.exe等病毒清除解…
    RG8.tmp病毒清除解决方案
    139ujf939.exe,2.exe等病毒清除解决…
    EntSoQn.exe病毒清除解决方案
    360safess.net.exe等病毒清除解决方…
    关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 |

    Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号