针对下载病毒文件的处理方法(16.9kb压缩文件)
近来许多朋友在下载资料时,发现下回来的压缩包只有16.9kb,解压后为22kb,而且是一个setup.exe的安装文件,点击安装,不会有任何提示。防火墙会报告有黑客程序正在运行并试图隐藏恶意软件的运行。能检测到: 风险软件 Hidden object 正在运行: C:\Program Files\Common Files\Microsoft Shared\VGX\regin.exe和C:\WINDOWS\system32\gdisvc.exe进程。并且每20分钟扫描一次正在运行的应用程序,每2秒钟扫描一次注册表并试图修改键值名 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 的值名{ACADABAF-1000-0010-8000-10AA006D2EA4} 。
并复制安装文件然后结束应用程序,删除用户当前保存和未保存的文件(包括临时文件),开启多个ie进程,利用并打开端口发送、接收数据(种置木马程序 Trojan-PSW.Win32.OnLineGames.dwv 木马程序 Trojan-Downloader.Win32.Tiny.ky木马程序 Trojan-PSW.Win32.OnLineGames.dyh )等。修改系统时间,减慢网速,导致整机瘫痪。
杀毒软件无法查杀。
表现为一开机就运行regin.exe,gdisvc.exe,iexplorer.exe
建议未感染和已排除木马病毒的机子及时安全更新MS07-017和MS07-046。
regin.exe, gdisvc.exe, iexplorer.exe regin.exe nwwzbf99.dll plapp.sys等病毒专杀
一. 建议使用XDelBox删除以下文件:
使用说明:添加下面所有路径或在空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键,选择立刻重启删除[有提示不存在该文件的就忽略,添加其它文件],电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。 字串1
c:\windows\system32\nwwzbf99.dll
c:\program files\common files\system\gdiserver.exe
c:\windows\system32\drivers\ywuc.sys
c:\windows\system32\drivers\rbjhsg.sys
c:\windows\system32\drivers\r4dp2q.sys
c:\windows\system32\drivers\plapp.sys
c:\windows\system32\drivers\nwwzbf99.sys
c:\windows\system32\gdisvc.exe
c:\program files\common files\microsoft shared\vgx\regin.exe
字串2
2.删除重启后使用SREng:
字串9
删除下面的服务(运行SRENG--->启动项目--->服务--->Win32服务应用程序--->勾选隐藏已认证的微软项目--->选择要删除服务--->选择删除服务--->点击设置--->出现提示里选择否,确认删除。如果删除不了Win32服务应用程序=>修改启动类型Disabled=>设置)
<c:\program files\common files\system\gdiServer.exe>
字串3
删除下面的驱动(运行SRENG--->启动项目--->服务--->驱动程序--->勾选隐藏已认证的微软项目--->选择要删除的驱动--->选择删除服务--->点击设置--->出现提示里选择否,确认删除。)
字串8
<\SystemRoot\System32\DRIVERS\ywuc.sys>
<\SystemRoot\\SystemRoot\System32\drivers\rbjhsg.sys>
<\??\C:\WINDOWS\system32\drivers\r4dp2q.sys>
<\SystemRoot\System32\DRIVERS\plapp.sys>
<\SystemRoot\System32\DRIVERS\nwwzbf99.sys> 字串4
下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp2/arswp2.zip
二. 安全模式下:
首先 打开控制面板-管理工具-服务,将gdi server 服务停用
在文件夹选项中,将系统文件,隐藏文件显示
再找到下列文件之后,删除
c:\program files\common files\system\gdiserver.exe
c:\program files\common files\microsoft shared\vgxregin.exe
c:windows\system32\gdisvc.exe
打开注册表c:\windows\regedit.exe,查找gdisvc,gdiserver,将相关目录删除
重启
希望此帖能对朋友们有所帮助。 顺便补充一句,该木马能够监视特殊网络协议(如ftp等),并且自动关闭应用程序(已植入木马),上传网络时替换了源文件(仅保留文件名)。所以即使再次上传,可能还是木马,这样的机子必须查杀木马后才能发送电子邮件。 好!十分详细!
早发就好了!害我重装!!!!:L 非常感谢楼主,同时非常BS在G宝盘上篡改文件,传播木马的人!
同时提醒大家在下载时一定要注意!希望G宝盘能尽快解决问题! 严重支持
我的就是啊
:@ :@ 最后重装了
[ 本帖最后由 ggrenkey 于 2007-10-6 20:28 编辑 ] 原来如此啊?害人不浅。 谢谢朋友,另外大家一定要看论坛的公告 我的就是啊,最后重装了,555555555555 我在昨晚中的毒,幸亏当时就删掉。旋转的喜字是病毒 原来如此啊?