一个程序员的梦

导航

发现异常进程:svchost32.dll和4.exe ,中木马了!!

今天发现机器运行缓慢,检查发现异常进程:svchost32.dll,4.exe!!中招了。中招时间2006-09-10 21:00(老婆看网页的时候?).网上查了相关资料:

资料1:

一种木马 进程名为 W32.Mydoom.I@mm 通过E-mail传播
这是“天堂木马变种im”(Troj.Lineage.im)
威胁级别:★★
病毒特征:这是一个窃取天堂游戏帐号和密码的木马病毒。
发作症状:病毒在系统中释放出下列文件:
C:\Program Files\svhost32.exe C:\WINNT\System32\msdll.dll,添加到启动项,开机自运行。同时关闭一些安全软件,从以下地址下载病毒文件: http*://goodlock***.gamania.com/***ShowNew.aspx,并保存到以下地址:
C:\tt.txt。通过安装消息钩子,自动查找天堂游戏窗口,记录帐号和密码,利用自身建立SMTP引擎,发送信息到木马种植者指定邮箱。
所以一定不要乱打开啊!
参考清除方法:
  同时按Ctrl + Alt + Del 打开 Windows任务管理器,在[进程]页面找到svhost32.exe和msdll.dll选中点右键“结束进程树
  找到C:\Program Files\svhost32.exe 和C:\WINNT\System32\msdll.dll删除。

 

资料2:

=============================================================
病毒名称:Trojan-PSW.Win32.Lineage.acw(Kaspersky)
病毒别名:
病毒大小:80,439 字节
加壳方式:SVKP
样本MD5:49c2988f485303323926aac4037db0ab
发现时间:2006.7.24
更新时间:2006.7.25
关联病毒:Worm.Win32.Viking.r
      Trojan.Win32.Delf.rf
      Trojan-PSW.Win32.Lineage.acw
      Trojan-PSW.Win32.Delf.fz
传播方式:通过恶意网站、其它病毒下载等途径传播
Viking.r下载的木马之一,梦幻传奇木马。
下载下来的文件是4Sy.exe,运行后复制自身到:
%ProgramFiles%\Microsoft\svhost32.exe
释放%System%\msdll.dll插入Explorer.exe进程。
创建自启动项:

CODE:

[Copy to clipboard]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="%ProgramFiles%\Microsoft\svhost32.exe"

清除步骤
==========
1. 结束病毒进程%ProgramFiles%\Microsoft\svhost32.exe
2. 删除病毒文件:
%ProgramFiles%\Microsoft\svhost32.exe
3. 删除病毒建立的自启动项:

CODE:

[Copy to clipboard]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="%ProgramFiles%\Microsoft\svhost32.exe"

4. 重新启动计算机
5. 删除病毒文件:
%System%\msdll.dll

资料3:

1.exe 2.exe 3.exe 4.exe病毒,在C:\Documents and Settings\用户名\Local Settings\Temp文件夹里
C:\Program Files\Microsoft 文件svhost32.exe
C:\WINDOWS\command 文件rundll32.exe
c:\windows\qq.exe
服务
windows   格式 hack*.com.cn.ini名字不清楚了
windows updata   格式 c:\windows\qq.exe
两个服务用第三放软件删除
msconfig启动项svhost32  C:\Program Files\Microsoft\svhost32.exe
rundll32  C:\WINDOWS\command\rundll32.dll

可以的加载项HLM\SOFTWARE\microsoft\windows nt\currentversion\policies\explorer\run
 checkfaultkenel----c:\windows\system32\mswdm.exe

我的处理方法:

    1  用 0字节文件替换 c:\Program Files\svhost32.exe

    2  没有发现msdll.dll。

   3. 删除病毒建立的自启动项:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ms"="%ProgramFiles%\Microsoft\svhost32.exe"

  4  删除目录 TEMP\1...5.EXE

posted on 2006-09-12 09:42  newman0816  阅读(526)  评论(0编辑  收藏  举报