今日病毒播报,各位注意了

[复制链接]
查看: 1344|回复: 3

dsu_paulsign:classn_11

发表于 2007-10-27 14:46:05 | 显示全部楼层
fjOs0r.dll、OnlO0r.dll 木马群的清除


应该是有专门的生成器,遇到很多起了
  不写分析了。。

  解决方法:

  1、down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)



  下载后直接放桌面。

  2、断开网络,关闭不需要的连接。

  3、打开冰刃,设置-禁止线程创建,确定。

  4、删除以下文件(如提示不存在文件不存在跳过即可):

Crogram FilesCommon FilesfjOs0r.dll   31791 字节
C:Program FilesInternet ExplorerOnlO0r.bak   27183 字节

C:Program FilesInternet ExplorerOnlO0r.dll   31791 字节

C:Program FilesInternet ExplorerOnlO0r.obk   31791 字节



  这4个是主体,可能文件名不一样。。注意文件大小。

  还有这些木马:

C:Windowssystem32dadoor0.dll
C:Windowssystem32dhdoor0.dll
C:Windowssystem32mhdoor0.dll
C:Windowssystem32mydoor0.dll
C:Windowssystem32qhdoor0.dll
C:Windowssystem32qjdoor0.dll
C:Windowssystem32
xdoor0.dll
C:Windowssystem32        ldoor0.dll
C:Windowssystem32wddoor0.dll
C:Windowssystem32wgdoor0.dll
C:Windowssystem32wldoor0.dll
C:Windowssystem32wodoor0.dll
C:Windowssystem32ztfree0.dll
C:Windowssystem32zxdoor0.dll


  并查找C—F盘下有没有autorun.inf和可疑的文件。如果有的话也删除了。

  5、设置冰刃,重启并监视。

  6、重启后,打开SREng,删除:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]

<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:Program FilesInternet ExplorerOnlO0r.dll>   [Microsoft Corporation]
  <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:winntsystem32mhdoor0.dll>   []
  <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:winntsystem32wodoor0.dll>   []
  <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:winntsystem32ztfree0.dll>   []
  <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:winntsystem32wldoor0.dll>   []
  <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:winntsystem32wgdoor0.dll>   []
  <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:winntsystem32dadoor0.dll>   []
  <{0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD}><C:winntsystem32dhdoor0.dll>   []
  <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:winntsystem32qjdoor0.dll>   []
  <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:winntsystem32
xdoor0.dll>   []
  <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:winntsystem32wddoor0.dll>   []
  <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:winntsystem32        ldoor0.dll>   []
  <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:winntsystem32zxdoor0.dll>   []
  <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:winntsystem32mydoor0.dll>   []
  <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:winntsystem32qhdoor0.dll>   []

  7、如果杀软无法打开,提示初始化错误的话,到杀软的目录夹下。

  打开那个“把要删除的拖给我.bat”,有看到Ws2_32.dll或MFC42.dll的文件夹拖给它。

  8、继续重启。。重启后修改QQ、网游等密码。。

dsu_paulsign:classn_11

发表于 2007-10-27 14:46:18 | 显示全部楼层
Worm.Win32.Agent.al病毒手动解决



这只。。。有点象MSN蠕虫,又有点不象。。。。
  这次可能是壳的原因,过了很多。。

  瑞星、蜘蛛、偌顿、NOD32、Mcafee等都没报

  不写分析了,行为技术差不多:

  生成4个启动项

  控制Eeplorer和进程管理器,无法对其进行关闭操作

  会添加注册表,在防火墙那项的忽略项目,饶过防火墙

  连接64.22.79.126 IRC服务器,监听20733端口,等待黑客命令


  解决方法:

  1、断开网络,关闭不需要的进程。

  2、http://down.45it.com下载sreng2.zip和PowerRmv.com


  3、打开SREng,检查注册表项,有看到:<Windows Bool Service>

  这个键名的,记住他指向的启动项后删除。

  我这里指向的是:WinBool32.exe

  然后,打开PowerRmv,选上抑制杀灭对象生成,填入:

  C:WindowsWinBool32.exe

  确定。

  如果不是WinBool32.exe,那么病毒名字你自己变更。

  4、打开注册表,搜索WinBool32.exe,有找到的话删除。

  5、重启电脑

dsu_paulsign:classn_11

发表于 2007-10-28 13:07:40 | 显示全部楼层
怕怕复杂的东东。。。

dsu_paulsign:classn_11

发表于 2007-10-28 14:48:18 | 显示全部楼层
貌似木马病毒不会找上我.
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

返回顶部快速回复上一主题下一主题返回列表找客服
返回顶部 关注微信 下载APP 返回列表