1   1  /  1  页   跳转

C:\BENQ\解决方案【推荐】

收藏
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-04-26 18:00 | 只看楼主 短消息 资料
字号: 1楼

C:\BENQ\解决方案【推荐】

【病毒分析】
此次分析以WINXP为基础

C:\BENQ\包含如下两个主要文件:
C:\BENQ\IEXPLORE.EXE
C:\BENQ\HOOKALL.dll

其中
C:\BENQ\IEXPLORE.EXE自己创建系统进程并修改userinit.exe程序
C:\BENQ\HOOKALL.dll插入到多个系统进程中
但都不是系统核心进程

【操作参考】
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载后打开IceSword
在工具栏中点击--文件--设置
勾选“禁止进线程创建”
然后结束【除下面进程以外的其它进程】:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe

开始--运行
输入regedit
确定
进入注册表
修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\BENQ\IEXPLORE.EXE>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,>

删除
C:\BENQ\IEXPLORE.EXE
C:\BENQ\HOOKALL.dll
C:\BENQ\

删除完毕
把IceSword的“禁止进线程创建”前的勾去掉

【温馨提示】
若文件找不到或无法删除文件
建议进入安全模式下删除
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再进行查找一下

或利用KILLBOX来删除
KILLBOX下载:
http://forum.ikaka.com/topic.asp?board=28&artid=6979213

或利用费尔木马强力清除助手来删除
费尔木马强力清除助手使用参考:
http://www.xfilt.com/tech/trojan-horse.htm
最后编辑2006-04-27 07:38:55
分享到:
gototop
 
天山雪狐
头像
叱咤花甲狮
  • 帖子:2434
  • 注册: 2005-04-16
  • 来自:
发表于: 2006-04-26 18:23 | 短消息 资料
字号: 2楼

BENQ?
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-04-26 18:24 | 短消息 资料
字号: 3楼

就是从中午的时候看到的那一例合并灰鸽子的案例总结出来的吧?
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-04-26 18:26 | 只看楼主 短消息 资料
字号: 4楼

引用:
【天山雪狐的贴子】BENQ?
...........................

你不会认为是明基吧?
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-04-26 18:32 | 短消息 资料
字号: 5楼

案例在此。大家有兴趣可以去看一下。不过那篇帖子除了这一个最严重的问题,还合并了灰鸽子等其他问题。不言将对付C:\BENQ\的部分提炼出来放在这里。
http://forum.ikaka.com/topic.asp?board=28&artid=7987866
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-04-26 18:35 | 只看楼主 短消息 资料
字号: 6楼

引用:
【轩辕小聪的贴子】就是从中午的时候看到的那一例合并灰鸽子的案例总结出来的吧?
...........................

是的

不过在本论坛至少已经出现过三例了
在其它论坛没有遇到过这个木马
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-04-26 18:39 | 短消息 资料
字号: 7楼

嗯,我之前也在这里见过一例,不过当时没看到SREng日志,是中午的那一例才第一次看到日志。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-04-26 18:50 | 短消息 资料
字号: 8楼

【回复“不言放弃”的帖子】
是否还应有这一步:
把注册表中
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\BENQ\IEXPLORE.EXE>
修改为:
<Userinit><C:\WINDOWS\system32\userinit.exe,>
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-04-27 07:38 | 只看楼主 短消息 资料
字号: 9楼

引用:
【轩辕小聪的贴子】【回复“不言放弃”的帖子】
是否还应有这一步:
把注册表中
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\BENQ\IEXPLORE.EXE>
修改为:
<Userinit><C:\WINDOWS\system32\userinit.exe,>

...........................

是的
以前曾记得应该有这一项的
呵呵
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT