lolol - 2008-1-26 22:48:00
毒网是www.8wen.cXm
这是什么毒?
==============================
中毒后,360safe自动关闭,运行exe不能,被运行的.exe文件被改名放到诸如C:\RECYCLER\__*.tmp
更改hosts文件加入了
219.235.3.16 www.360safe.com
202.165.102.243 dnl-cn1.kaspersky-labs.com
219.235.3.16 www.google.com
等网站
在system32下生成文件
ijmrethql.dll
abejwlzid.dll
mnqvixlup.dll
MYZLMX.dll
应该是自动生成的文件名
在system32\drivers下生成文件
npf.sys //盗传奇密码的木马,但大小为0
在QQ或msn下面也有增加文件 我的是pqtyla.dll
[update] QQ或msn下面还有个wsock32.dll
安全模式的注册表项全删
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot那儿
在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler下面增加了{55426-BBA98-35A45C...}这样的项 值为C:\WINDOWS\system32\MYZLMX.dll
在注册表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad下面增加了nomerwgdw这样的项 值为C:\WINDOWS\system32\ijmrethql.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下似乎没什么不正常的
-------------------------
我试了开QQ用process explorer检查到有个rundll32被跟着执行
而运行的命令行是C:\WINDOWS\system32\1951834.dll 但system32下没有这个文件
与这个文件关联的有QQ安装目录下隐藏的pqtyla.dll
同时调用了ADVAPI32.dll, ole32.dll, kernel32.dll(3个安全dll)
看来被嵌入了什么东西
-------------------------
******************************
暂时的解决办法
******************************
先到winpe下把上面的.dll文件全部删了
注册表中的病毒项到正常时用regedit删了
全部删除后正常运行
360safe或杀毒软件也不报,还有毒没清啊?
忘了说了,本来想用系统还原,但是会提示莫名其妙的如N:\ K:\等带有反斜杠的盘符,因为如果是正常被禁止的盘是不带反斜杠的,最终重启后也是提示系统没作出任何还原。[font_color=#0][font_color=#0]
天月来了 - 2008-1-27 8:18:00
不知道安全类工具改为和系统文件同名,并放在系统文件夹里能不能运行呢??
如果和系统文件同名文件,也在系统文件夹里,还不能运行,不知道这鸟玩意怎么折腾让系统还正常启动的。
lolol - 2008-1-27 9:56:00
终于发现为什么了
QQ下和MSN下都有个wsock32.dll应用程序接口文件
但它的大小跟system32\dllcache下的wsock32.dll比大了0.1KB
我靠!!!
lolol - 2008-1-27 10:03:00
终于成功了! 我把那个wsock32.dll删了QQ正常, 没有rundll32被执行了!!
我的问题是它是怎么让QQ启动时执行rundll32的?
© 2000 - 2026 Rising Corp. Ltd.