清除盜遊戲帳號的密西木馬變種 Trojan PSW Misc r)等
清除盜遊戲帳號的密西木馬變種(Trojan.PSW.Misc.r)等
endurer 原創2006-04-29 第1版
有位網友反應說,他的電腦執行MYIE2時經常出錯關閉。
讓他用HijackThis(您可以到http://endurer.ys168.com下載)掃描log,發現如下可疑專案:
F2 - REG:system.ini: Shell=Explorer.exe 1O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:/WINDOWS/system32/wmpdrm.dllO2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)O4 - HKLM/../Run: [QQ] C:/Program Files/system/run.exeO4 - HKLM/../Run: [3721.com] C:/Program Files/system/system.exeO4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXEO4 - HKLM/../Run: [lingx] C:/WINDOWS/linxe/Intrenet.exeO4 - HKLM/../Run: [spoolsv] C:/WINDOWS/system32/spoolsv/spoolsv.exe -printer
用WinRAR尋找上面的檔案,除了C:/WINDOWS/linxe/Intrenet.exe外,都找到並打包備份,併為檔案加上.del副檔名或把資料夾改名。看到C:/WINDOWS/WINLOGON.EXE的圖示,讓我想起了前不久遇到的傳奇盜號木馬Trojan.PSW.Lmir(詳見:遭遇Trojan.PSW.Lmir等病毒),仔細一找,果然發現MSCONFIG.COM、regedit.com、rundll32.com等com檔案,都加了.del副檔名。
下載瑞星登錄檔修復工具,果然EXE檔案關聯被修改了,於是修復。
解除安裝了中文上網(CNNIC_IDN)和桌面媒體。
2006-10-29 18:33:8 瑞星防毒助手
Windows XP Service Pack 2(5.1.2600)
檔名 病毒名
WINLOGON.EXE>>C:/WINDOWS/WINLOGON.EXE Trojan.PSW.Misc.r
C:/WINDOWS/system32/MSCONFIG.COM.del Trojan.PSW.Misc.r
C:/WINDOWS/system32/regedit.com.del Trojan.PSW.Misc.r
C:/WINDOWS/system32/command.pif Trojan.PSW.Misc.r
C:/WINDOWS/system32/spted.dll Trojan.DL.QQHelper.gen
C:/WINDOWS/system32/JPG圖片.dll.del Backdoor.Prosti.bo
C:/WINDOWS/system32/rundll32.com.del Trojan.PSW.Misc.r
C:/WINDOWS/system32/dxdiag.com.del Trojan.PSW.Misc.r
C:/WINDOWS/system32/finder.com.del Trojan.PSW.Misc.r
C:/WINDOWS/Debug/DebugProgram.exe Trojan.PSW.Misc.r
C:/WINDOWS/1.com.del Trojan.PSW.Misc.r
C:/WINDOWS/explorer.com.del Trojan.PSW.Misc.r
C:/WINDOWS/ExERoute.exe.del Trojan.PSW.Misc.r
C:/WINDOWS/finder.com.del Trojan.PSW.Misc.r
C:/WINDOWS/WINLOGON.EXE.del Trojan.PSW.Misc.r
C:/Program Files/Common Files/iexplore.pif Trojan.PSW.Misc.r
C:/Program Files/Internet Explorer/PLUGINS/System.exe Trojan.Agent.ayt
C:/Program Files/Internet Explorer/iexplore.com Trojan.PSW.Misc.r
C:/Program Files/system1/run.exe Trojan.DL.VB.aqn
C:/Program Files/system1/dmshell.dll Trojan.Clicker.tot
其中第1項,記憶體中的WINLOGON.EXE程序已被瑞星查毒程式清除,其餘的全部用“瑞星防毒助手”清除。
可惜瑞星對
C:/WINDOWS/system32/wmpdrm.dllC:/WINDOWS/system32/spoolsv/spoolsv.exe
沒反應。
“密西木馬(Trojan.PSW.Misc)病毒:盜號木馬,通過網路傳播,依賴系統:WIN 9X/NT/2000/XP。
這是一個盜號木馬,執行後它會將自身複製到系統目錄中,同時修改登錄檔啟動專案以實現隨系統啟動自動執行。該盜號木馬會在後臺執行,並試圖盜取網路遊戲《傳奇》、《傳奇世界》、《魔獸》等的帳號和密碼,給遊戲玩家帶來損失。