同事的电脑进程中出现可疑程序,终止后过一会又出现。检查发现中了木马,加载木马服务,同时也通过任务计划运行木马程序。清除方案如下:
1.删除以下文件
c:\windows\system32\74r4.exe
c:\windows\system32\74sd.exe
c:\program files\common files\system\netagent.dll(netagent.dll应为QVOD之类播放软件的文件,但应该在播放软件的主程序或system32文件夹下,此处的netagent.dll相当可疑,文件厂商显示为Microsoft,建议还是删除的好,即使误删,重装播放软件就是)
C:\WINDOWS\system32\67l5.dll
C:\WINDOWS\system32\67l5.dlltmp
C:\WINDOWS\Downloaded Program Files\25ab.dll
C:\WINDOWS\Downloaded Program Files\25aac.dll
C:\WINDOWS\Downloaded Program Files\f5f.exe
C:\WINDOWS\c074.bmp
C:\Documents and Settings\Administrator\Local Settings\Temp\admin6.exe
C:\Documents and Settings\Administrator\Favorites\iexx上网导航.网址导航.url(伪装的快捷方式)
C:\WINDOWS\SYSTEM32\44ed.dll
以下四项即任务计划,由于不能直接进入C:\WINDOWS\tasks\删除,可以从控制面板-任务计划进入,删除以下任务名。在删除前可检查它们的任务属性,将定时运行的木马文件记下来,随后删除,注意rundll32.exe是系统文件,被木马借用于调用程序的,在删除任务属性中的程序文件时,不要误删了rundll32.exe。
C:\WINDOWS\tasks\ms.job
C:\WINDOWS\tasks\25aac.job
C:\WINDOWS\tasks\25ab.job
C:\WINDOWS\tasks\f5f.job
以下属于系统临时文件夹temp,建议对temp文件夹中的所有内容全部清理删除,不必按以下文件名逐一处理。
C:\Documents and Settings\Administrator\Local Settings\Temp\ccenter.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\cml105.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml104.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml11E.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cmlBA.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cmlC4.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cmlF2.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml62.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml8B.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml90.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml9B.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cmlD9.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cmlFB.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\hosgit.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\kqc25.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml195.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\cml33F.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\kqc312.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\kqc33A.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\p1.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\usrinit_t.exe
2.使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[NokcSys / NokcSys] <C:\WINDOWS\system32\74r4.exe>
[winlgn / winlgn] <C:\WINDOWS\system32\74sd.exe>
系统修复-- 浏览器加载项之如下项删除:
[BhoLock Class] <C:\Program Files\Common Files\System\NetAgent.dll>
以上处理可借助windows清理助手,还能清理该木马群相关的注册表残余项。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/583.html
