论坛求助:麦咖啡频繁报告发现特洛伊木马,威胁类型Generic Backdoor.uc,在c:\program files\和c:\windows\下随机出现JPG文件,被报告为木马,如c:\program files\HHHH.JPG,在IE缓存中也有报为木马的文件。
检查了扫描出来的SREng日志,发现有两个可疑项:
1、注册表启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<1822><C:\Program Files\Common Files\Microsoft Shared\Microsoft\Office.exe>
2、hosts文件中有指向可疑IP的网址,同时据称HOSTS文件内容为乱码
office.exe应该不是微软Office的程序文件,出现在 C:\Program Files\Common Files\Microsoft Shared\Microsoft\中更是可疑,一般电脑中该文件夹中并无office.exe,即使安装过MS Office(不论什么版本),还加入启动项,嫌疑加三级。
不过求助者后来采用了系统还原的方法,还原后,在注册表中已经找不到这个启动项了,说明这确实不是MS OFFICE的文件。因为windows系统还原可能并不删除文件(只还原系统文件、注册表与系统配置),所以还是建议要去检查下那个可疑文件是否还存在,当然HOSTS还是要修复的。另外一个建议就是清理IE浏览器缓存与临时文件,防止木马残留。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1225.html
