本文的眼:熊猫烧香自网络下载的木马名称多种,注意识别。alga.exe,zaq10.exe,wanmei.exe,windds32.dll等都是新面孔。其他的mhs2.exe,iexp1ore.exe等本博文章有说明,不再赘述。另外,发现此案例有LSP劫持。可以用最新版本的SRENG2.3的重置WINSOCK为默认来解决!
Winsock 提供者 MSAFD Tcpip [TCP/IP] C:\WINDOWS\system32\WSD_SOCK32.dll(N/A, N/A) MT-TcpFilter C:\WINDOWS\system32\WSD_SOCK32.dll(N/A, N/A)
一、问题的提出:
提问地址: http://zhidao.baidu.com/question/18323172.html 报告地址:(2页) http://hi.baidu.com/sessoso/blog/item/754e1655fbde7ec4b645ae23.html http://hi.baidu.com/sessoso/blog/item/4077720670529f7b03088123.html |
二、分析
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765 分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭【如提示文件找不到,忽略错误】 C:\WINDOWS\system32\drivers\spoclsv.exe C:\WINDOWS\system32\iexp1ore.exe C:\WINDOWS\system32\iexpl0re.exe C:\WINDOWS\zaq10.exe C:\WINDOWS\mhs2.exe C:\WINDOWS\alga.exe C:\WINDOWS\wls3.exe C:\WINDOWS\winlog0n.exe C:\WINDOWS\iexp1ore.exe C:\WINDOWS\wanmei.exe C:\WINDOWS\system32\twunk32.exe C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk C:\WINDOWS\system32\Security.exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\windhcp.ocx
重启计算机 然后再进入安全模式执行如下的操作 -------------------------------------------------------------- 以下的操作都要求安全模式下进行。 [安全模式?重启电脑时按住F8 选择进入安全模式] -------------------------------------------------------------- 3. 用工具 SREng 删除如下各项 下载及其使用方法看下面的链接,看懂再下手操作! http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html 【如下操作有风险,必须看懂上面的方法再操作。】 【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】
启动项目 -->注册表 的如下项 <SyrxMy><C:\WINDOWS\system32\iexp1ore.exe> [N/A] <svcshare><C:\WINDOWS\system32\drivers\spoclsv.exe> [N/A] <SymhMy><C:\WINDOWS\system32\iexpl0re.exe> [N/A] <cmdbcs><C:\WINDOWS\zaq10.exe> [N/A] <mhs2><C:\WINDOWS\mhs2.exe> [N/A] <cv5fwzw5hlw><C:\WINDOWS\alga.exe> [N/A] <wls3><C:\WINDOWS\wls3.exe> [N/A] <tsghst7680dlzvi><C:\WINDOWS\winlog0n.exe> [N/A] <h2ycf0jfe8><C:\WINDOWS\iexp1ore.exe> [N/A] <wsvbs><C:\WINDOWS\wanmei.exe> [N/A] <twin><C:\WINDOWS\system32\twunk32.exe> [N/A] <{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [N/A] ================================== 启动项目 -->服务-->Win32服务应用程序 的如下项 [Server Advance / ServerAC][Stopped/Auto Start] <C:\WINDOWS\system32\Security.exe><N/A> [Win32 Display Driver / Win32DDS][Stopped/Auto Start] <C:\WINDOWS\system32\\rundll32.exe windds32.dll,start><Microsoft Corporation> [Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start] <C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
4、SREng 系统修复-->修复 winSock供应者 点“重置所有内容为默认值” 或者用如下的方法 开始菜单 运行 输入cmd 输入如下命令 netsh winsock reset 回车
手动删除文件 C:\WINDOWS\system32\WSD_SOCK32.dll
5. 用下文推荐的专杀工具清理其他受到感染的EXE文件 Viking专杀 http://hi.baidu.com/teyqiu/blog/item/bd8aa97731568f1bb051b928.html 注意里面的360SAFE的帖子链接里的工具都用一下 交叉检查。 熊猫专杀: http://hi.baidu.com/teyqiu/blog/item/6369ddc4c3dc03cb39db496a.html
6. 最后用 下文推荐的工具清理(第四个) 把能检测到的全选后点清理(删除)参考 http://post.baidu.com/f?kz=149133630
|