遭遇 Trojan.DL.Agent.cjy、ltnward.exe、34E0AE22.dll 等

endurer 原创
2007-01-26 第1版

一位网友说他的电脑最近工作速度很慢，让偶通过QQ远程协助帮忙检修看看。

到 http://endurer.ys168.com 下载 HijackThis扫描log，发现可疑项：
/------
Logfile of HijackThis v1.99.1
Scan saved at 15:11:51, on 2007-1-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O4 - HKLM/../Run: [ltnward] C:/WINDOWS/system32/ltnward.exe
------/

用 pe_xscan 扫描log，发现可疑项：
/------
pe_xscan by Purple Endurer
2007-1-26 15:39:30
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O4 - HKLM/../Run: [ltnward] C:/WINDOWS/system32/ltnward.exe

O24 - [] - {0AE234E0-34E0-AE22-E0AE-4E0E24E0AE22} = C:/Program Files/Common Files/Microsoft Shared/MSINFO/34E0AE22.dll
------/

用WinRAR找到了C:/WINDOWS/system32/ltnward.exe，到 http://purpleendurer.ys168.com 下载了 fileinfo提取信息：

/------
文件说明符 : C:/WINDOWS/system32/ltnward.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : ltnward 应用程序
版权 : 版权所有 (C) 2006
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : ltnward 应用程序
公司名称 :
合法商标 :
内部名称 : ltnward
源文件名 : ltnward.exe
创建时间 : 2006-12-29 13:49:49
修改时间 : 2006-11-27 22:15:32
访问时间 : 2007-1-26 0:0:0
大小 : 31744 字节 31.0 KB
MD5 : a312a56cad6bfc547fd510443f81d89a
------/

google搜索了一下，资料上说 ltnward.exe 还有一个帮凶：ltnwardl.dll，但偶没有发现。

检查瑞星的查杀记录，果然ltnwardl.dll已经被查杀了：
/------
病毒名称 发现日期 扫描方式 路径 文件 病毒来源                       
Trojan.DL.Agent.cjy  2007-01-05 14:44  屏保扫描  C:/WINDOWS/system32  ltnwardl.dll>>pecompact2x
------/

没有发现 C:/Program Files/Common Files/Microsoft Shared/MSINFO/34E0AE22.dll

用HijackThis修复：O4 - HKLM/../Run: [ltnward] C:/WINDOWS/system32/ltnward.exe
用注册表编辑器删除：

O24 - [] - {0AE234E0-34E0-AE22-E0AE-4E0E24E0AE22} = C:/Program Files/Common Files/Microsoft Shared/MSINFO/34E0AE22.dll

对应的注册表项。

清空c:/windows/prefetch

清空c:/windows/temp

清空IE临时文件夹