Trojan.DL.Small.ibr相关解决方案【推荐】 bbs.ikaka.com

不言放弃 - 2006-4-6 15:02:00

【前言】
本次病毒分析以XP系统为例

【初步分析】
出现这个木马应该与傲迅浏览器辅助这个流氓插件有关

【日志分析】
从HIJACKTHIS的日志中我们可以发现有如下相关项目：
（当然HIJACKTHIS的扫描并不彻底）
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs

【相关文件及文件夹】
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
C:\WINDOWS\system32\wmpdrm.dll

【相关文件分析】
C:\WINDOWS\system32\wmpdrm.dll添加IE加载模块
C:\WINDOWS\system32\msibm\cfsbho.dll添加IE加载模块
C:\WINDOWS\system32\msibm\msibm.dll插入到多个系统进程
C:\WINDOWS\system32\spoolsv\spoolsv.exe冒充微软打印机程序并添加为自启动项
C:\WINDOWS\system32\msibm\cfsys.dll添加为自启动项
添加删除程序中出现两个奇怪的卸载程序：“NavAngel”和“WinDirected 2.0”

【解决参考】
用HIJACKTHIS修复
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs

双击C:\WINDOWS\system32\msibm\下的uninstall程序
卸载清除C:\WINDOWS\system32\msibm\

开始－－运行
输入regedit
确定　
进入注册表
展开“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall”，在Uninstall文件夹下删除“NavAngel”和“WinDirected 2.0（或WD2）”这两个文件夹

删除
C:\WINDOWS\system32\msibm\
C:\WINDOWS\system32\msicn\
C:\WINDOWS\system32\mscache\
C:\WINDOWS\system32\bakcfs\
C:\WINDOWS\system32\spoolsv\
C:\WINDOWS\system32\1116\
C:\WINDOWS\system32\wmpdrm.dll

清空IE临时文件夹

清理注册表(建议使用优化大师)
可以使用“恶意软件清理助手”这个小工具
下载http://www.tommsoft.com/products/
使用前请先在线升级该工具
建议清理注册表之前备份一下注册表

【提示】
若正常模式下无法解决
建议进入安全模式下操作

【小常识】
若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击－－工具－－文件夹选项－－查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件（推荐）”前的勾去掉
然后再进行查找一下

或利用KILLBOX来删除
KILLBOX下载：
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

或利用费尔木马强力清除助手来删除
费尔木马强力清除助手使用参考：
http://www.xfilt.com/tech/trojan-horse.htm

2116bromgamed2m - 2006-4-6 16:18:00

简单精辟
一看就懂
学习

M4AI - 2006-4-6 16:30:00

感谢楼主，精简易通
很多人会感谢你的

风有理由 - 2006-4-6 16:48:00

大哥帮帮忙,我机子有病毒,怎么杀不掉啊，有没有专杀工具?给我指导指导,多多帮忙啊
病毒名称 Adware/Downloader.QQHres.gen
病毒中文名 “QQ多表情”变种

不言放弃 - 2006-4-6 16:52:00

【回复“风有理由”的帖子】
请楼主好好参考大家的回贴
OK？

轩辕小聪 - 2006-4-6 16:53:00

呵呵，收藏了，之前从未有如此全面的方法。不言的风格，一旦出手，就把病毒连根拔起，绝不留死角。强烈建议版主把此帖置顶一段时间。

友好人士 - 2006-4-6 17:06:00

引用:

【轩辕小聪的贴子】呵呵，收藏了，之前从未有如此全面的方法。不言的风格，一旦出手，就把病毒连根拔起，绝不留死角。强烈建议版主把此帖置顶一段时间。
...........................

同感，建议长期置顶！！！
小聪，你整天都不用上课的呀，呵呵！！！！

海色の月 - 2006-4-6 22:01:00

也有“Win Survey”的“变种”。

eesage - 2006-4-7 0:12:00

谢谢楼主```好人拉

飞天小猪第一代 - 2006-4-7 0:56:00

我就是中的这个毒　不过楼主写的好难懂　我用２００６杀了一遍　　没了　　开机后又有了　再杀一遍　　没了　　可开机后又有了　有方便点的办法吗

pcfanblog - 2006-4-7 1:07:00

谢谢楼主提供

不言放弃 - 2006-4-7 7:40:00

引用:

【海色の月的贴子】也有“Win Survey”的“变种”。
...........................

是不是会产生一下update文件夹？

你好毒！你好毒！ - 2006-4-7 8:43:00

谢谢楼主我的问题解决了再也不回因为按了Backspace之后浏览器狂跳的问题了！非常感谢

风雨无阻2008 - 2006-4-7 11:20:00

非常感谢楼主，我的问题解决了！

纤纤玉指 - 2006-4-7 12:10:00

不言真是绝代佳银，想不夸奖都不好意思，呵呵！

dwlsn - 2006-4-7 14:07:00

楼主，我不到你说删除的那两个文件，怎么回事？

就可以找到这，然后Uninstall文件里面就没有要删除的文件了．
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

不言放弃 - 2006-4-7 14:11:00

引用:

【dwlsn的贴子】楼主，我不到你说删除的那两个文件，怎么回事？

就可以找到这，然后Uninstall文件里面就没有要删除的文件了．
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
...........................

上面主题贴的内容并不一定与大家机器中这个木马后所产生的文件一致
有很多朋友的添加删除程序中并没有那两个可疑的卸载程序

心语心愿 - 2006-4-7 15:10:00

恩好贴,能解决大问题,谢谢楼主!

子阳 - 2006-4-7 19:26:00

学习下.

闪电风暴 - 2006-4-7 20:19:00

接着学习

lanyue - 2006-4-7 20:41:00

该用户帖子内容已被屏蔽

lanyue - 2006-4-7 20:44:00

该用户帖子内容已被屏蔽

友好人士 - 2006-4-7 23:00:00

【回复“lanyue”的帖子】
不言列出的是典型的＂深度中毒症状＂，由于个体差异不同，并非人人的症状都一样的．

魔化绵羊 - 2006-4-8 3:56:00

请楼主解答，谢谢！
我直接卸载了WinDirected 2.0在\WINDOWS\system32\中找不了你所说的那些病毒文件，重起也一样，但还是有毒，怎么办？

龙卷风1981 - 2006-4-8 7:35:00

按楼主说的做，在安全模式下，完全有效

NetBurst - 2006-4-8 14:51:00

引用:

【飞天小猪第一代的贴子】　　我就是中的这个毒　不过楼主写的好难懂　我用２００６杀了一遍　　没了　　开机后又有了　再杀一遍　　没了　　可开机后又有了　有方便点的办法吗　
...........................

已经很方便了.....

也许你该换个问发: 有复杂点儿的办法吗? 嘿嘿

心语心愿 - 2006-4-8 15:58:00

恩不错实用再次感谢! 改天给楼主献花!

艾玛 - 2006-4-8 20:56:00

Trojan.DL.Small.ibr病毒手动清除方法
病毒路径：C:\WINDOWS\system32\mscache\ 病毒文件：*.cpz>>cf.scr
点击开始 > 设置 > 控制面板，双击打开添加或删除程序，在当前安装的程序列表中选择到WinDirected 2.0，点击更改/删除按钮将此程序卸载；
http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfo&InfoID=660&Channel=RSV

已添加入瑞星文档

淡水秋风 - 2006-4-8 22:30:00

楼主，谢谢你啊！我的毒杀完了。

赖赖赖 - 2006-4-8 23:42:00

用HIJACKTHIS修复
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: BHelper - {8A4280AD-9B37-4922-A51D-73F3C3A32AF7} - C:\WINDOWS\system32\msibm\cfsbho.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [mscfs] RUNDLL32 C:\WINDOWS\system32\msibm\cfsys.dll,cfs

双击C:\WINDOWS\system32\msibm\下的uninstall程序
卸载清除C:\WINDOWS\system32\msibm\

我的电脑里有2项O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
我选择后点了修复还是有；再扫描，还是在,修复不了。
还有“双击C:\WINDOWS\system32……”下的那个程序在system32下根本没有。我对电脑不太懂望版主指点一二，万分感谢。

瑞星卡卡安全论坛