一,我手動殺木馬記錄 , 及 二 [轉貼] 砍掉木馬:Trojan-Dropper.Win32.Delf.wj
一 , 我手動殺木馬記錄 , 砍掉木馬:Trojan-Dropper.Win32.Delf.
1.下載unlocker,並安裝。
1-1關掉ADSL MODEM
2.在windows xp執行時,按ctrl+alt+del,選「處理程序」,裡面 "沒" 有inetsrv正在執行。
3. 進入 c:windows\system32,
4. 在inetsrv.*及inetsrv子目錄上按右鍵→按unlocker→按 [全部解鎖 ]
5. 刪除C:\WINDOWS\system32\inetsrv目錄
****之前 , 直接 刪除C:\WINDOWS\system32\inetsrv\目錄中的 smtpsnap.dll, 很快又生出 一個 smtpsnap.dll來.
6. 按「開始」→「執行」→輸入「regedit」,接著按「編輯」→「尋找」ctrl+F,輸入 inetsrv
及 driveinfo ,我只找到 _driveinfo , 將機碼刪除。
**registry 中 , ab 預設值 REG_SZ _DriveInfo
**按右鍵→刪除後變成,ab 預設值 REG_SZ (數值未設定)
6-2. 搜尋下一個 。
7.取消隱藏保護的作業系統檔案:在檔案總管→工具→資料夾選項→檢視→取消「隱藏保護
的作業系統檔案」勾選,這樣才看得到接下來的檔案(可於刪除相關檔案後,再勾選)
8.將隨身碟裡面的 Recycled (整個目錄或只刪driveinfo.exe driveinfo.sdc voinfo.dll)、 autorun.inf 刪
除即可。我的隨身碟裡面沒有這些。
9.重開機。
10.再檢查一下,是否還有這些檔案。
11.完成
上午 12:14 2009/8/5 補記
1.重開機後 , 又產生新的 inetsrv 子目錄 , C:\WINDOWS\system32\inetsrv ,
2.裡面還沒產生新的 動態連結檔 ,
3.但 unlocker 程式顯示,
winlogon.exe 被鎖到路徑 C:\WINDOWS\system32\inetsrv
explorer.exe 被鎖到路徑 C:\WINDOWS\system32\inetsrv
下午 06:34 2009/8/5
1. 又用UNLOCKER 解鎖後, 刪除C:\WINDOWS\system32\inetsrv 目錄,
2. 用 木馬清除大師2008 SCAN 後,
3. 到 木馬所在目錄 , ( 例如 C:\Documents and Settings\Administrator.HOLLINGS-32C694\Cookies目錄 , )
刪除 TrackingCookie.XXX 類型 的木馬 ,
例如 : administrator at youtube[1].txt , administrator at
4. 許多木馬 , 用 NOD32 , 小紅傘 AntiVir 都掃瞄不出 , 用 木馬清除大師2008 才掃瞄出 .
Trojan-Win32.Delf.fav C:\autorun.inf
TrackingCookie.2o7 administrator at msnportal.112.2o7[1].txt
TrackingCookie.8AD administrator at 100tw5.webamp[1].txt
TrackingCookie.Adserv administrator at filecabi[2].txt
TrackingCookie.Adserv administrator at 1069564924[1].txt
TrackingCookie.Adserv administrator at 1063752865[1].txt
TrackingCookie.Adserv administrator at yourfilehost[2].txt
TrackingCookie.Adult administrator at adultadworld[2].txt
TrackingCookie.Adult administrator at toteme[2].txt
TrackingCookie.Adult administrator at virtuagirlhd[2].txt
TrackingCookie.Adult administrator at vod.adultemart[1].txt
TrackingCookie.advertising administrator at hornymatches[1].txt
TrackingCookie.Atdmt administrator at atdmt[2].txt
TrackingCookie.Banner administrator at code.cnxad[1].txt
TrackingCookie.Banner administrator at config[2].txt
TrackingCookie.Bridge administrator at cleverbridge[1].txt
TrackingCookie.Bridge administrator at avira.cleverbridge[1].txt
TrackingCookie.counter administrator at statcounter[1].txt
TrackingCookie.Doubleclic administrator at doubleclick[1].txt
TrackingCookie.Engage administrator at youtube[1].txt
TrackingCookie.imrworldwide administrator at cgi-bin[2].txt
TrackingCookie.OverTure administrator at overture[1].txt
TrackingCookie.serving-sys administrator at serving-sys[2].txt
TrackingCookie.serving-sys administrator at bs.serving-sys[1].txt
TrackingCookie.Sex administrator at traffic[1].txt
TrackingCookie.Sex administrator at
TrackingCookie.Sex administrator at worldsex[1].txt
TrackingCookie.Sex administrator at rb4.worldsex[1].txt
TrackingCookie.Sex administrator at mysexgames[2].txt
TrackingCookie.Sex administrator at masterwanker[2].txt
TrackingCookie.Sex administrator at tracking.yourfilehost[2].txt
TrackingCookie.Sex administrator at theuncensored[2].txt
TrackingCookie.Sex administrator at
TrackingCookie.Sex administrator at funnyinside[2].txt
TrackingCookie.Sex administrator at ihealth.com[1].txt
TrackingCookie.Sex administrator at justsexyvideos[2].txt
TrackingCookie.Sex administrator at sexinyourcity[1].txt
TrackingCookie.specificclick administrator at specificclick[1].txt
TrackingCookie.WebTrends administrator at dcskvd4nl000004jp3schw889_3i3y[1].txt
TrackingCookie.WebTrends administrator at dcs127395moyeczglb5888kth_2j2b[1].txt
=========================
[轉貼來源] http://www.swps.ptc.edu.tw/plog/index.php?op=ViewArticle&articleId=33&blogId=1
二 [轉貼] 砍掉木馬:Trojan-Dropper.Win32.Delf.wj 2006/12/11,14:20
最近學校常常出現一個木馬程式,在插入隨身碟後,點選磁碟機 Kaspersky(卡巴斯基防毒程
式) 會發現C:windows\system32\driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj,解決方式
經剛式老師提供,摘錄於此,請各位老師多多利用!
症狀
1.插入隨身碟後,點選磁碟機 Kaspersky(卡巴斯基防毒程式) 會發現
C:windows\system32\driveinfo.exe 是木馬程式 Trojan-Dropper.Win32.Delf.wj
2.在windows xp執行時,按ctrl+alt+del,選「處理程序」,裡面有inetsrv正在執行
事實上在 c:windows\system32 裡頭根本找不到 driveinfo.exe,而是躲在隨身碟的 Recycled 目錄
下,裡面有三個檔案,分別是:1.driveinfo.exe 2.driveinfo.sdc 3.voinfo.dll
另外在隨身碟的根目錄會新增一個檔案 autorun.inf,內容是:
[AutoRun]
Open=.RecycledDriveinfo.exe
ShellOpenCommand=.RecycledDriveinfo.exe
手動解除方法:
1.下載unlocker,可用yahoo搜尋,關鍵字「unlocker」,選2.PChome Online 網路家庭-下載網址
:http://toget.pchome.com.tw/intro/utility_file/utility_file_view/23922.html,完成後並安裝。
1-1記得拔掉網路線
2.按ctrl+alt+del鍵後,將「處理程序」中的「 inetsrv.exe」右鍵,結束處理程序。
3.進入 c:windows\system32,在inetsrv.*及inetsrv子目錄上按右鍵→unlocker→刪除→全部解除。
4.按「開始」→「執行」→輸入「regedit」,接著按「編輯」→「尋找」ctrl+F,輸入 inetsrv
及 driveinfo ,將全部有這些的機碼都刪除。(搜尋到後,在右半邊的視窗中,有相關字眼的部
份按右鍵→刪除,或直接按del),【搜尋下一個可直接按F3】。
6.隨身碟接上 PC 後,不要用雙擊點選磁碟機的方式,使用檔案總管(開始→程式集→附屬應
用程式)展開,就不會執行 inetsrv.exe。
7.取消隱藏保護的作業系統檔案:在檔案總管→工具→資料夾選項→檢視→取消「隱藏保護
的作業系統檔案」勾選,這樣才看得到接下來的檔案(可於刪除相關檔案後,再勾選)
8.這個時候將隨身碟裡面的 Recycled (整個目錄或只刪driveinfo.exe driveinfo.sdc voinfo.dll)、
autorun.inf 刪除即可。
9.重開機
10.再檢查一下,是否還有這些檔案
11.完成
沒有留言:
張貼留言