广告程序“揭发”传奇网游盗号木马等
2006-09-25 16:51
351 查看
endurer 原创
2006-09-25 第1版
有位网友的电脑不定期弹出广告窗口,让我帮忙检查一下。
到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,发现可疑项:
/---------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/WINLOGON.EXE
F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/Userinit.exe,,C:/WINDOWS/system32/internst.exe
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7939.com
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.265.com
O1 - Hosts: 125.91.1.20 www.v111.com
O4 - HKLM/../Run: [stup.exe] C:/PROGRA~1/TENCENT/Adplus/stup.exe
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
O4 - HKLM/../Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program Files/DeskAdTop/Run.dll" ,Rundll
O4 - HKLM/../Run: [rundll] rundll32 user.dll s
---------/
可见弹出广告窗口是桌面媒体在做怪,却让我们发现有类似传奇盗号木马的东东!
用HijackThis扫描启动项列表,还发现:
/---------
File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command
(Default) = C:/WINDOWS/ExERoute.exe "%1" %*
---------/
EXE文件关联果然被修改了。
从瑞星网站下载“瑞星注册表修复工具”,发现注册表有多处被恶意修复,修复了。
到 http://endurer.ys168.com 下载了 procview,终止进程:C:/WINDOWS/WINLOGON.EXE
卸载:腾讯地址栏搜索,桌面媒体
WinRAR查找下列文件:
/---------
C:/WINDOWS/1.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/ExERoute.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/EXPLORER.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/FINDER.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/WINLOGON.EXE(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/regedit.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/dxdiag.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/command.pif(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/MSCONFIG.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/rundll32.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/finder.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/1.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia,瑞星 报为 Trojan.PSW.JHOnline.esq)
C:/Windows/system32/2.exe(Kaspersky 报为 Trojan-Dropper.Win32.Delf.wo)
C:/Windows/system32/4.exe
C:/Windows/system32/6.exe(Kaspersky 报为 Trojan.Win32.Pakes,瑞星 报为 Trojan.PSW.Lmir.lei)
C:/Windows/system32/user.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia,DrWeb 报为 Trojan.PWS.Gamania,瑞星 报为 Trojan.PSW.JHOnline.esq)
C:/Windows/system32/myrx.dll(Kaspersky 报为 Trojan.Win32.BCB.i)
C:/Program Files/Internet Explorer/internat1.exe
C:/Program Files/Internet Explorerinternat5.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.axn)
C:/Program Files/Internet Exploreriexplore.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
D:/autorun.inf
D:/PAGEFILE.PIF(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
---------/
打包备份后删除。
不过没找到文件:C:/WINDOWS/system32/internst.exe
关闭所有浏览器和文件夹窗口,用HijackThis扫描并修复上面所列项目。
清空IE临时文件夹
清空 C:/Documents and Settings/user/Local Settings/temp(其中 user 为用户名)
清空 C:/windows/temp
2006-09-25 第1版
有位网友的电脑不定期弹出广告窗口,让我帮忙检查一下。
到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,发现可疑项:
/---------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/WINLOGON.EXE
F2 - REG:system.ini: Shell=Explorer.exe 1
F2 - REG:system.ini: UserInit=C:/WINDOWS/system32/Userinit.exe,,C:/WINDOWS/system32/internst.exe
O1 - Hosts: 125.91.1.20 localhost
O1 - Hosts: 125.91.1.20 www.7939.com
O1 - Hosts: 125.91.1.20 www.hao123.com
O1 - Hosts: 125.91.1.20 www.9991.com
O1 - Hosts: 125.91.1.20 www.5566.net
O1 - Hosts: 125.91.1.20 www.gjj.cc
O1 - Hosts: 125.91.1.20 www.265.com
O1 - Hosts: 125.91.1.20 www.v111.com
O4 - HKLM/../Run: [stup.exe] C:/PROGRA~1/TENCENT/Adplus/stup.exe
O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE
O4 - HKLM/../Run: [Desktop] C:/WINDOWS/system32/rundll32.exe "C:/Program Files/DeskAdTop/Run.dll" ,Rundll
O4 - HKLM/../Run: [rundll] rundll32 user.dll s
---------/
可见弹出广告窗口是桌面媒体在做怪,却让我们发现有类似传奇盗号木马的东东!
用HijackThis扫描启动项列表,还发现:
/---------
File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command
(Default) = C:/WINDOWS/ExERoute.exe "%1" %*
---------/
EXE文件关联果然被修改了。
从瑞星网站下载“瑞星注册表修复工具”,发现注册表有多处被恶意修复,修复了。
到 http://endurer.ys168.com 下载了 procview,终止进程:C:/WINDOWS/WINLOGON.EXE
卸载:腾讯地址栏搜索,桌面媒体
WinRAR查找下列文件:
/---------
C:/WINDOWS/1.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/ExERoute.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/EXPLORER.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/FINDER.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/WINDOWS/WINLOGON.EXE(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/regedit.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/dxdiag.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/command.pif(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/MSCONFIG.COM(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/rundll32.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/finder.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
C:/Windows/system32/1.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia,瑞星 报为 Trojan.PSW.JHOnline.esq)
C:/Windows/system32/2.exe(Kaspersky 报为 Trojan-Dropper.Win32.Delf.wo)
C:/Windows/system32/4.exe
C:/Windows/system32/6.exe(Kaspersky 报为 Trojan.Win32.Pakes,瑞星 报为 Trojan.PSW.Lmir.lei)
C:/Windows/system32/user.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia,DrWeb 报为 Trojan.PWS.Gamania,瑞星 报为 Trojan.PSW.JHOnline.esq)
C:/Windows/system32/myrx.dll(Kaspersky 报为 Trojan.Win32.BCB.i)
C:/Program Files/Internet Explorer/internat1.exe
C:/Program Files/Internet Explorerinternat5.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.axn)
C:/Program Files/Internet Exploreriexplore.com(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
D:/autorun.inf
D:/PAGEFILE.PIF(Kaspersky 报为 Trojan-PSW.Win32.Lmir.bbk)
---------/
打包备份后删除。
不过没找到文件:C:/WINDOWS/system32/internst.exe
关闭所有浏览器和文件夹窗口,用HijackThis扫描并修复上面所列项目。
清空IE临时文件夹
清空 C:/Documents and Settings/user/Local Settings/temp(其中 user 为用户名)
清空 C:/windows/temp
相关文章推荐
- LocalOS 0.1.1 版发布(内附本程序源码及Java版网游找CALL示例源码)
- 盛大“传奇”的网游启示录
- 04-03/遭遇 rookit/ynqcq.sys 和 wswci.dll,xexq.dll,baidu.dll等广告程序/2版
- 程序界的高手传奇
- XML、DataSet、DataGrid结合写成广告管理程序(二)
- 瑞星前副总经营网游传奇3外挂被判刑六年
- 一段js代码模仿实现sina广告条--转自griefforyou的程序人生
- 真机调试/程序发布--发布程序-内购-广告
- MAC下使用Tomcat+eclipse+mysql+git+jdk开发网游后台程序经验总结
- 下载站运行广告合作exe文件然后再运行程序文件的bat
- .NET结合XML制作广告管理程序 [转]
- java学习玩具程序:网游强化装备多少次能到5级?
- 瑞星力荐金山毒霸?原来是广告程序“作崇”
- 开发宝典:基于分布式对象的网游程序结构设计
- XML、DataSet、DataGrid结合写成广告管理程序
- 做广告链接,程序无故崩溃问题
- 高级程序经理-搜索广告相关性 - 微软亚太研发集团 ----庞果网-Pongo.cn
- 用ASP.NET结合XML制作广告管理程序(2)
- 网络视频网站收入来源:消费品与网游广告最多
- 程序界的传奇高手