【讨论】关于“易虎”gamesetup.exe的查杀 bbs.ikaka.com

baohe - 2006-7-19 15:20:00

运行、观察了“闪电风暴”推荐的gamesetup.exe。
这是个“巨无霸”级的流氓。运行后gamesetup.exe，释放的流氓、木马文件四处都是。汗！！
其中，C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\hlngejn.exe是个主要角色。它通过修改explorer.exe的内存执行代码注入。

手工查杀方法：
1、删除注册表启动加载项（见图1）
2、删除文件（图2、图3、图4）
3、清理注册表中的垃圾：
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除："MyShares"="c:\\program Files\\易虎\\MyShares.exe /tray"

展开：HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
删除：
"Search Bar"="http://toolsbar.kuaiso.com/search.html"
"Search Page"="http://toolsbar.kuaiso.com/search.html"
"SearchAssistant"="http://toolsbar.kuaiso.com/search.html"
"Start Page"="http://toolsbar.kuaiso.com/index.htm"

图1

附件: 1558472006719151237.jpg

baohe - 2006-7-19 15:21:00

图2

附件: 1558472006719151347.jpg

baohe - 2006-7-19 15:22:00

图3

附件: 1558472006719151443.jpg

baohe - 2006-7-19 15:23:00

图4

附件: 1558472006719151549.jpg

天真 - 2006-7-19 20:49:00

这个流氓软件真是巨大呀，真的好难杀

我无邪 - 2006-7-19 21:02:00

这个东东下载后安装是不是自动运行在后台，打开任务管理器可以看到进程在不断的增加，桌面上就有易虎之类的。
上回有人在反浏览器上发过这个，我下载后安装就是这样的。

yanmings - 2006-7-19 21:31:00

猫叔厉害，学习了

mopery - 2006-7-19 21:51:00

学习下...

闪电风暴 - 2006-7-22 9:47:00

学习了

独孤豪侠 - 2006-7-22 9:54:00

学学。。。。。呵呵。。。。

闪电风暴 - 2006-7-23 9:35:00

baohe版主靠什么软件搜索到木马创建的这么多文件的啊?

虚心学习０３１１ - 2006-7-23 9:58:00

学习了~高深
收下了

黑灯黑火 - 2006-7-23 10:02:00

果然是个比较强的~~

独孤豪侠 - 2006-7-23 10:08:00

引用:

【闪电风暴的贴子】baohe版主靠什么软件搜索到木马创建的这么多文件的啊?
...........................

这个问题关注..一下.

QQ89303540 - 2006-7-23 10:08:00

真猛

瑞星卡卡安全论坛