DownloadMX、OnlineGames.ge.61096、禽兽病毒的简单处理
国庆节期间,最为猖獗的病毒当属禽兽病毒了,小弟家里的电脑、公司的电脑也未能幸免!恼怒之余,在网络上大肆搜索解决之道,抱着侥幸的心理到金山毒霸铁军的博客里面去看看有没有收获,结果不想撞了一个正着,先给大家转一个简单易行的处理办法。
下面转自金山毒霸铁军的blog:
发现这个7天长假中,传播病毒的人忙的正欢,长假期间很多人会玩在线游戏。与盗号相关的木马、下载者疯了一样出来。我们安排了病毒分析和客服值班,保证常规更新不受影响,一般的咨询也能及时联系到客服。论坛提供了网友互助的平台,这七天版主“一把锈剑”、“学习啊学习”,还有几个热心会员一起解决了很多问题。长假也这样热心,真是太感谢他们了。
今天看了论坛的访问数据,10.1-3号这三天,咨询病毒的人很少,估计出去玩儿的人比较多一些。剩下的几天里,论坛发贴量一点不比平常少。还发现这7天中,出了几个难缠的下载者。
1.Win32.DownloadMX.a.2088一个下载者病毒,能从指定网站下载其它木马
下载病毒文件的列表:
病毒会先下载一个经过加密的文件列表,http://www.*****.org/Data/a.txt,然后病毒会对文件列表进行解密,并下载病毒文件,解密后的下载木马的路径为http://isa.*****.coM/Images/Hide/m1.exE
病毒名为:Win32.Troj.OnlineGames.tc.98351
DownloadMX病毒会把OnlineGames病毒下载到用户机器上,路径为%windows%\dllcache\svchost.exe
并运行。
2.Win32.Troj.OnlineGames.ge.61096病毒
这个是另一个下载者,因为本身是下载者的缘故,中毒后,会在电脑上发现更多的木马。变种非常多,现象并不完全一致。
通过分析Sreng日志,发现以下特点,首先系统目录下存在以下文件:
\system32\sqmapi32.dll
\system32\qdshm.dll
\system32\mseam.sys
\system32\mssock.sys
多个日志发现winsock被修改为sqmapi32.dll或qdshm.dll,这些文件可能只有一两个不存在。 由于部分求助中发现个别的安全模式被破坏,可以使用AV终结者专杀或者清理专家来修复。安装清理清理专家,为避免被劫持,先将KASMain.exe改成任意名字,运行后会自动升级。
重新启动按F8选择进入安全模式,运行金山清理专家,依次点击百宝箱,文件粉碎器,将以下4个文件找到,添加到彻底删除的文件列表中,再点击彻底删除。然后,立即重启电脑。
\system32\sqmapi32.dll
\system32\qdshm.dll
\system32\mseam.sys
\system32\mssock.sys
因为病毒同时修改了winsock,删除病毒文件后,会导致不能上网。用金山清理专家,这个问题,很容易搞定。只需要再启动清理专家,百宝箱,LSP修复工具,将LSP修复为系统缺省值即可。
重启系统,看看毒霸有没有继续报病毒。
| 
[复制链接]
发表于 2007-10-15 15:16:30
楼主