首 页健康生活新 闻留 言骗 子美女图片网络安全论 坛问吧注册码大全bt资源
张筱雨人体艺术   汤芳人体艺术  汤加丽人体艺术  石靖人体艺术   刘亦菲人体艺术   汤唯人体艺术  张柏芝人体艺术   人体艺术摄影
网络安全知识        Knowledge of network security
                                           Small knowledge of computer security,Computer knowledge
首页
您当前的位置:地球村网络安全病毒防范 → 新频道内容 设为首页   加入收藏   联系我们
遭遇Trojan.PSW.Lmir等病毒
作者:admin  来源:本站原创  发布时间:2007-6-25 17:30:34
瑞星杀毒软件2008版,是基于新一代虚拟机脱壳引擎、采用三层主动防御策略开发的新一代信息安全产品。
瑞星08独创的“帐号保险柜”基于“主动防御”构架开发,可保护上百种流行软件的帐号,包括70 多款热门网游,30多种股票、网上银行类软件,QQ 、MSN等常用聊天工具及下载软件等。
同时,瑞星08采用"木马强杀"、"病毒DNA 识别"、"主动防御"、"恶意行为检测"等大量核心技术,
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀数十万种木马,拥有海量木马病毒库,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰
卡巴斯基单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术

昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。

  我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助手的系统修复功能,还是不行,让我帮忙看看。

  朋友的电脑比较老,使用的是Win 98。进入桌面后不断提示Explorer.exe出错,想正常关机都不行。

  按Reset按钮,强制重新启动,按F8键,选择Safe Mode,进入安全模式,不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在,扫描log,发现如下可疑或需要修复的项目:

Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)

Running processes:
C:\WINDOWS\WINLOGON.EXE

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL

O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\PROGRAM FILES\PCDOWNLOADER\BHOPLUGIN.DLL

O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CNSHOOK.DLL

O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL

O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)

O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE

O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\rundll32.exe

O8 - Extra context menu item: !搜一搜(&S) - res://C:\PROGRAM FILES\YISOU\YISOU.DLL/232

O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)

O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)

O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)

O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)

O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)

O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)

O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)

O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS]  上网助手-地址栏搜索

O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab

O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\SYSTEM\DLMain.dll

原来朋友是用雅虎助手来修复的,真是“与虎谋皮”。

到控制面板的“添加删除程序”里想把雅虎助手卸载,不想这东东居然要在线卸载,而Win 98的安全模式是连网的。先把IE-BAR等几个可疑的项目卸掉了。

在log中,进程C:\WINDOWS\WINLOGON.EXE出现的有点怪,因为安全模式下

O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE

这项不会被系统执行。

找到


C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\SYSTEM\rundll32.com
C:\WINDOWS\SYSTEM\regedit.com
C:\WINDOWS\SYSTEM\Msconfig.com
C:\WINDOWS\SYSTEM\finder.com
C:\WINDOWS\SYSTEM\dxdiag.com
C:\WINDOWS\TEMP\a.exe
C:\WINDOWS\TEMP\b.exe
C:\WINDOWS\finder.com
C:\WINDOWS\Internet.exe
C:\WINDOWS\system.exe
C:\WINDOWS\Winlogon.exe

等可疑文件,为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator,打包备份后删除。

接着问题就来了,运行程序时提示找不到C:\WINDOWS\ExERoute.exe。
原来C:\WINDOWS\ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe!

这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老,无USB接口,用软盘拷来瑞星注册表修复工具,不料软驱读软盘出错!

只好手工到注册表里修改,把regedit.exe改成regedit.com,进入注册表编辑器,修复了EXE文件关联。

用HijackThis修复了前面所列的项目。

重新启动电脑,这次进入Windows不再提示explorer.exe出错了,

运行瑞星杀毒助手,使用瑞星在线免费扫描,发现35个染毒文件:

文件名 病毒名
C:\WINDOWS\SYSTEM\rundll32.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\MSCONFIG.COM Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com Trojan.PSW.Lmir.jag(Kaserpersky报为Trojan-PSW.Win32.Lmir.aov)
C:\WINDOWS\SYSTEM\dxdiag.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\regedit.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\command.pif Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\rundll32.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\ca.exe>>b.EXE Trojan.PSW.Lmir.jbg(Kaspersky实时监控不报,手动扫描报为Trojan-PSW.Win32.Lmir.aoe)
C:\WINDOWS\SYSTEM\qq.exe.bak Trojan.PSW.LMir.jdc(Kas

[1] [2]  下一页
[ ] [返回上一页] [打 印]
Copyright © 2007 Diqiuc.Com. All Rights Reserved .豫ICP备07001840 Powered by Diqiuc.Com