同事说他的电脑有问题,检查后发现中了木马,经过清理修复,特此记录。有几点注意:以下列出的可能并非完全,仍可能存在残留,因此在清除以下内容后,使用杀毒软件全盘查杀;清理过程可以使用windows清理助手协助操作,部分内容来源于其查杀记录,当然用其它的工具也可以;我同事的电脑上安装的系统为win2000,系统目录为c:\winnt,如果是xp以上的系统,则应该为windows;还有c:\program files\messenger\中的MSGSWCAM.dll,注意与正常MSN文件区别(注意安装目录)。
1.删除以下文件:
C:\WINNT\system32\actxprxy.dll(该系统文件被病毒替换,需用正常文件替换恢复)
c:\winnt\mpkrnl.dll
c:\program files\messenger\msgswcam.dll(此文件夹并非MSN的安装目录,应整个删除)
C:\WINNT\system32\imm32.dll.tmp
C:\WINNT\SYSTEM32\qt-dx3.dll
C:\WINNT\system32\MSGSCR.TLB
C:\WINNT\SYSTEM32\DRIVERS\hmbpodex.dat
C:\WINNT\SYSTEM32\DRIVERS\msnoipds.dat
C:\WINNT\SYSTEM32\DRIVERS\wtimsdo.dat
还有一个wsconfig.db文件,在系统目录下,是文本文件,其中包含以下内容:
[0]
f=C:\WINNT\system32\kb5115534.dll
g=C:\WINNT\system32\kb6115553.dll
j=C:\WINNT\system32\kb911561.dll
q=C:\WINNT\system32\kb16115532.dll
o=C:\WINNT\system32\kb14115550.dll
m=C:\WINNT\system32\kb12115558.dll
l=C:\WINNT\system32\kb1111563.dll
b=C:\WINNT\system32\kb1115522.dll
这些kb*.dll文件也要注意查找并删除,后面的数字是可变的
以下文件名为一般为随机生成,仅供参考
c:\program files\mhzx\tlmhzx1104.dll(此文件夹应整个删除)
c:\winnt\tasks\deaxupxqweyavph4pd3brcyyshv.inf
c:\winnt\system32\perrgx5dkqsbqdwaucrqh.dll
c:\winnt\system32\z6fvkef47hupzgaxee.inf
c:\winnt\downloaded program files\gxrsg8sda4habgnqxnr9jgfu6nz.cur
c:\winnt\system32\jmq7bper4xa8ev5ftcb.inf
c:\winnt\system32\fsmby3kmwnag5grbwggu.inf
c:\winnt\fonts\a97cracb.fon
2.使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MPKrnl><rundll32 "C:\WINNT\MPKrnl.dll",KrnlMsgProc>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe c:\Progra~1\mhzx\tlmhzx1104.dll Start,> (此项应恢复系统默认值<C:\WINDOWS\system32\userinit.exe,> 注意最后有个逗号)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32D1A17C-A0E9-4B05-AD83-A292B98CD824}><C:\WINNT\Tasks\dEAXUPxQWEyAvpH4Pd3brcyYSHV.inf>
<{51716C09-6B08-4CCF-B526-718E912C0573}><C:\WINNT\system32\PERrGx5DkqSbQdwauCRQH.dll>
<{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINNT\system32\z6FVkEF47huPzgaXee.inf>
<{C53C1999-1B56-41BD-8F76-520D618F112C}><C:\WINNT\Downloaded Program Files\gxrSG8sdA4hAbGNQXnr9JGFu6nZ.cur>
<{7198F428-77AC-4837-AFBE-1E0393575935}><C:\WINNT\system32\JMq7bpeR4Xa8eV5ftCB.inf>
<{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}><C:\WINNT\system32\FsmBY3kmWnAG5gRbwGgU.inf>
<{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINNT\fonts\A97CRaCB.fon>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<Webcam><C:\Program Files\Messenger\msgswcam.dll>
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Smart Card Helper / SCardDrv] <C:\WINNT\system32\scardsvr32.exe -v> (此项应与以上木马无关,是我同事电脑上经常中的老病毒,和杀毒软件很熟了,一般文件已经删除,只有服务残余项留着)
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/567.html
