当前位置: 电脑软硬件应用网 > 电脑学院 > 网络安全 > 正文 |
|
|||
wkebsr.exe(QQ迷你首页木马)分析手动解决 | |||
2007-11-14 16:59:03 文/孤独更可… 出处:孤独更可靠博客 | |||
据说这个病毒是QQ迷你首页(minisite.qq.com/all/allinone.shtml )上挂的木马 我想是DNS劫持,因为我这里(福建泉州电信)和其他几位好友访问该网站并没有问题。 另外建议有出现访问QQ迷你首页提示木马的,暂时先把minisite.qq.com屏蔽了。 文件名称:wkebsr.exe 文件大小:23677 bytes AV命名:Trojan-Downloader.Win32.Small.gop (卡吧斯基)Trojan.Win32.Delf.yjk (瑞星) 加壳方式:FSG 2.0 编写语言:Borland Delphi 6.0-7.0 文件MD5:99f0966662bfd2910d2c762e8b70fac3 行为: 1、释放病毒副本: C:\Documents and Settings\当前的用户名\Local Settings\Temp\wkebsr.exe 23677 字节 C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wkebak.exe 23677 字节(开机自启) %Systemroot%\system32\drivers\knlps.exe 8192 字节 2、添加注册表,开机启动: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3、查找进程,尝试关闭: KVwsc.exe 4、其中病毒释放的knlps.exe,可能释放驱动knlps.sys,强制关闭: avp.exe 5、查找硬盘,于系统drivers目录释放delme.bat。可能会删除以下文件: ravmon.exe 6、连接http://www.ip138.com/ip2city.asp,记录本地计算机的IP地址。 并发送至http://58.215.79.**/ip.txt,最后提交到http://58.215.79.**/tj/lin.asp。 不过网址已经失效了,汗`` 7、调用net.exe,关闭系统自带的防火墙。 net.exe stop sharedaccess 解决方法: 1、下载SREng:可到down.45its.com下载 下载后直接放桌面,断开网络。 2、打开“任务管理器”,如有发现wkebsr.exe、wkebak.exe则关闭其进程。 3、打开SREng,删除病毒的的启动项: 注册表: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <avpdow><C:\DOCUME~1\admin\LOCALS~1\Temp\wkebsr.exe> [] 启动文件夹: [wkebak] 4、重启电脑,清空所有临时文件。 |
|||
关于45IT | About 45IT | 联系方式 | 版权声明 | 网站导航 | |
Copyright © 2003-2011 45IT. All Rights Reserved 浙ICP备09049068号 |