1   1  /  1  页   跳转

FakeSys恶意DLL木马

FakeSys恶意DLL木马

FakeSys恶意DLL木马&主页被篡改为WWW.25ED.COM
FakeSys恶意DLL木马
插件类型:由机器狗三代木马衍生,恶意BHO,盗网游账号
出品公司:盗号木马作者集团
文件路径:C:\WINDOWS\system32\wzscapi.dll

由360安全卫士查出,其他杀软查不到,症状为开机后360报警该木马,查杀后重起,浏览器点击无效,但是已经查不到该木马,再重起后浏览器恢复工作,但360再次报警该木马。昨天晚上进入魔兽世界,世界报警说有第三方外挂,不给进游戏要求重起,重起后桌面全部消失,包括任务栏,但是任务管理器可以使用,用任务管理器进入桌面后重起,桌面恢复正常,但是以上问题仍然存在。附件为该木马的扫描报告。

另外,浏览器主页已经被恶意篡改为www.25ed.com很长时间,无法修复,因为这里是单位电脑,未被篡改,故在扫描报告中应该没有显示相关信息。

下面就把这个可以文件上传,大家务必帮忙看看啊!!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 

回复:FakeSys恶意DLL木马

文件已收,我们会尽快进行分析
gototop
 

回复:FakeSys恶意DLL木马

谢谢
gototop
 

回复:FakeSys恶意DLL木马

wzscapi.dll只是一个释放器,行为:
向hosts文件中加入"127.0.0.1 localhost"
将自身资源Bin\101释放到%systemroot%\system32\MicrosoftIeHelper.dll,然后调用"Regsvr32 /s MicrosoftIeHelper.dll"注册之

MicrosoftIeHelper.dll是VB写的ActiveX dll,这种DLL的分析我不在行
但是其中确有http://25ed.com字样,因此主页被修改应该与此有关。

大概解决方案:
关闭浏览器进程,从任务管理器中结束Explorer.exe进程
用SREng在“系统修复”-“游览器加载项”中删除指向%systemroot%\system32\MicrosoftIeHelper.dll的项目(CLSID可能为{F1E18803-856B-4133-A4FC-5A3100D17212})
重启后删除%systemroot%\system32\MicrosoftIeHelper.dll及wzscapi.dll

如果wzscapi.dll是由其他病毒生成,则必须将源头干掉,否则重启后还会再生。

另从楼主描述,中的病毒很可能不止这一种。

综上,建议在中毒电脑上扫SREng日志,发到反病毒区求助,以更全面地解决病毒问题。
病毒样本请发到可疑文件交流区
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT