近期需警惕的一个木马

yuanjh

好可恶的东西啊！

xiaojinglf

如果不与处理，这个木马在第二次启动后形成服务。开始下载大量软件安装：
百度杀毒
百度浏览器
百度工具条
pps
暴风影音
百度卫士
360等等
蓝色工具
等等等等……
还有一些记不得了
游戏什么的还有

xiaojinglf

放毒作者发现自己被揭穿，删除了他的百度网盘文件。
今天我又逮到他另外一个帖子天空论坛一直有人在防毒
放毒
居然管理员不管
超级硬盘数据恢复软件(Power Data Recovery)2014中文黄金破解版(能恢复95%) - PC 精品软件资源分享区 - IT天空
http://bbs.itiankong.com/forum.p ... &extra=page%3D1
放毒贴

寒雨孤夜

我也出现同样问题，可是怎么删除不掉呢，先删除注册表重启后注册表会重写，先删除数据流，重启之后又有了，同时删除，重启之后又出来了。

xiaojinglf

寒雨孤夜 发表于 2014-5-2 12:33
我也出现同样问题，可是怎么删除不掉呢，先删除注册表重启后注册表会重写，先删除数据流，重启之后又有了， ...

首先扫描数据流，找到后将对应的母文件删除，然后删除数据流。再用PCHunter检查启动项--服务，找到类似随机字母数字的驱动，删除这个驱动。再重启计算机看

Demorngel

谢谢楼主了，还好我现在用的迅雷是自己在睿派克下载的

澜心灵犀

楼主，我发现我中招了，

你说的那个注册表项 heng_pro 我没有找到，但是我在C:\Windows\Media下面仔细检查了一下那几个文件，发现了这些

1. api.txt
C:\WINDOWS\system32\COM_ActiveX.ocx

在提示路径下找不到，用everything能找到


2. WindowsXP硬件故障.wav
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10025208-A707-22d2-9CBD-0000F87A469H}

3. Windows 还原.wav
2014年4月22日13时15分7秒

4. Windows XP 最中化.wav
d

5. qq.txt
532A4C47595E545F47434C797E764CA4E2C3B1ABEA3E6B22222227712228203D237175713D212026293D712274753D2028202022722320232029746D4C7568607C7F62753E6468642A7568607C7F62753E756875A979B4ECA

用alternatestreamview检查C:\Windows\路径得到结果如下


请问该如何干掉它？

qftest

澜心灵犀 发表于 2014-5-12 10:34
楼主，我发现我中招了，

你说的那个注册表项 heng_pro 我没有找到，但是我在C:\Windows\Media下面 ...

最重要的是一定要删除病毒的服务项
然后才是慢慢清理相关进程、流文件、启动项和注册表项。。
参考http://bbs.kafan.cn/thread-1705938-1-1.html

xiaojinglf

澜心灵犀 发表于 2014-5-12 10:34
楼主，我发现我中招了，

你说的那个注册表项 heng_pro 我没有找到，但是我在C:\Windows\Media下面 ...

使用AlternateStreamView扫描数据流，然后全选删除。
如果三出不了，就先去各个路径删除源文件，再扫描后删除数据流。
然后用杀软全盘扫描。
至于服务，一般是随机字母组成的怪异服务。如果有删除它
那几个wav文件也是假的。都可以删除。

澜心灵犀

xiaojinglf 发表于 2014-5-13 20:02
使用AlternateStreamView扫描数据流，然后全选删除。
如果三出不了，就先去各个路径删除源文件，再扫描 ...

我只删除了 C:\Windows\SysWOW64\wbem\Desktop.ini:wmic.js 和在Media下那几个有问题的小文件，重启后也没有再生。应该就没问题了吧。服务项不知道是不是让清理注册表的软件给干掉了。。。。毫无踪影。

下面这个数据流『C:\Windows\Media\』应该没问题吧 ：