endurer 原创
2007-03-22 第1版
今天收到一位网友的email,没说明电脑出现了什么问题,只有 HijackThis 的日志。
在日志中发现如下可疑项:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 21:09:06, 日期 2007-3-21
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - 启动项HKLM\\Run: [winform] E:\WINDOWS\winform.exe
O4 - 启动项HKLM\\Run: [cmdbcs] E:\WINDOWS\cmdbcs.exe
O4 - 启动项HKLM\\Run: [wsttrs] E:\WINDOWS\wsttrs.exe
O4 - 启动项HKCU\\Run: [System Boot Check] C:\windows\baba.exe
O4 - 启动项HKCU\\Run: [set] E:\WINDOWS\servicea.exe
O4 - 启动项HKCU\\Run: [6] E:\WINDOWS\iexpl0ra.exe
O4 - 启动项HKCU\\Run: [c] E:\WINDOWS\c0nima.exe
O4 - 启动项HKCU\\Run: [gf73z81wd] E:\DOCUME~1\meng\LOCALS~1\Temp\servicer.exe
O4 - 启动项HKCU\\Run: [2zgemexrk] E:\DOCUME~1\meng\LOCALS~1\Temp\c0nime.exe
O23 - NT 服务: internet - Unknown owner - E:\WINDOWS\nntv.exe
O23 - NT 服务: Workstation - Unknown owner - E:\WINDOWS\services.exe
看到O4组的启动项,有一些和前天中了Worm.Viking.pk的网友的电脑中发现的相似。见:
昨天才提醒,今天就有网友点QQ信息中的网址,中Worm.Viking.pk了
http://endurer.bokee.com/6174316.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html
修复建议:
(下列修复操作可参考【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html)
重启电脑到安全模式
停止并禁用服务:
internet
Workstation
用WinRAR找到文件:
E:\WINDOWS\winform.exe
E:\WINDOWS\cmdbcs.exe
E:\WINDOWS\wsttrs.exe
C:\windows\baba.exe
E:\WINDOWS\servicea.exe
E:\WINDOWS\iexpl0ra.exe
E:\WINDOWS\c0nima.exe
E:\DOCUME~1\meng\LOCALS~1\Temp\servicer.exe
E:\DOCUME~1\meng\LOCALS~1\Temp\c0nime.exe
E:\WINDOWS\nntv.exe
E:\WINDOWS\services.exe
打包备份后删除。
用HijackThis修复上列可疑项
清空IE临时文件夹
清空 c:\windows\prefetch
重启电脑,把 E:\WINDOWS\services.exe 等文件的压缩包作为email附件发到endurer@163.com。
没有评论:
发表评论