这个病毒真是头痛啊:exerouter,感觉这个进程会自己复制,删掉后又出现……,总是占很多系统资源……
我用 Process Explorer看进程,发现这个exerouter进程 总是删掉后 等会又出现,………… 头痛死了……
感觉这个病毒会自己复制,非常占系统资源,总是把机器的CPU和内存占到近100%,什么都干不了…………
有无这个病毒的专杀工具啊,非常感谢各位了~~~
在线等~~~
问题点数:100、回复次数:13Top
1 楼jiangsheng(蒋晟.Net[MVP])回复于 2006-06-18 20:07:17 得分 15
http://vi.db.kingsoft.com/index.shtml?CODE=02&virusid=38404Top
2 楼haoliangli(bob999)回复于 2006-06-18 20:50:21 得分 0
谢谢楼上!可是上面网址上 金山毒霸 只给出了病毒描述,并没有给出解决方案啊~
我该怎么办啊,着急中…………
Top
3 楼ccnp_Server(yinpeng·CSDN.er 暂别,今后一定常回来看看~)回复于 2006-06-18 21:17:14 得分 15
...金山已经写的很清楚了啊!
譬如:
删除文件
C:\WINNT\rundl132.exe、
C:\Program Files\svhost32.exe
删除注册表相关项和键值
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load"="C:\WINNT\rundl132.exe"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
"load"="C:\PROGRA~1\svhost32.exe"
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"TProgram"="C:\WINNT\smss.exe"
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN
"ToP"="C:\WINNT\LSASS.exe"
转移或锁定(删除帐户执行权限)你不能完全肯定的文件
vDll.dll
C:\WINNT\System32\ztdll.dll
C:\WINNT\1.com
C:\WINNT\1SY.EXE
C:\WINNT\smss.exe
C:\WINNT\finders.com
C:\WINNT\EXP10RER.com
C:\WINNT\exerouter.exe
C:\WINNT\System32\rund1132.com
C:\WINNT\System32\command.pif
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\inexplore.com
C:\progra~1\common~1\inexplore.pif
C:\WINNT\2SY.EXE
C:\WINNT\LSASS.exe
C:\WINNT\EXERT.exe
C:\WINNT\System32\MSCONFIG.COM
C:\WINNT\System32\dxdiag.com
C:\WINNT\System32\regedit.com
C:\WINNT\Debug\DebugProgram.exe
C:\progra~1\intern~1\INTEXPLORE.com
C:\progra~1\common~1\INTEXPLORE.pif
... ...按金山所罗列的生成文件一步一步的做吧!
Top
4 楼zhousulin5(素林)回复于 2006-06-20 11:42:43 得分 15
我想要对这个木马有更多的了解,楼主是不是在玩传奇?
我遇到的两次都是机主长期挂传奇的,并且此木马似乎还不仅仅是盗传奇号,还包括其他游戏的号。
还是建议格式化重装,因为它改动的地方实在很多,变种也多。
不过在重装之前,有一件事一定要注意,它会在D盘甚至E盘根目录下生成可以在windows系统中自动运行的文件,一定要在重装之前想法删掉这两个文件,不然,你一进windows它就会激活,你的所有工作都白做了。建议进dos,先删掉它们再格式化c盘.Top
5 楼haoliangli(bob999)回复于 2006-06-30 11:37:05 得分 0
非常感谢楼上几位, 可是我现在已经重装了:格式化C盘,重装。
重装之前,我没有进到D盘和E盘根目录下删掉文件; 我现在该怎么办,该对新的操作系统怎么办呢?
非常感谢~~~
Top
6 楼sunnyrain(旭雨)回复于 2006-06-30 11:55:16 得分 15
看看病毒有没有复活。没有的话,就算了,有的话,就按照楼上的楼上的说得再做一遍Top
7 楼umdj(夜无痕)回复于 2006-06-30 16:59:24 得分 20
呵呵 真的觉得现在的杀毒软件有点可笑,厉害点的病毒都要大家去手动,要是大家都是高手,还要杀毒软件干嘛呢?!! 我用金山的感受就是:有毒的时候提示有毒,杀毒的时候提示已清除,再开机的时候病毒还是病毒~ 个人观点觉得瑞星稍微好用点~ 但总觉得对付木马好象还是力不从心~我被病毒折磨个半死,想尽办法杀到8个小时+还在那里杀的时候,最愤怒的动作就直接FDISK或者PQ了~ 也尝试使用过一段时间的LINUX,问题是游戏不能玩了,好多东西做不了了(或者是自己不会做),开电脑干嘛啊! 对于杀毒,我头很大~ 只能提醒一句有用的话:上网的电脑使用习惯很重要!好的习惯更胜于去杀毒!!! 帮不了你什么,抱歉!Top
8 楼aspower_(敬个礼 握个手 大家都素好朋友!)回复于 2006-06-30 17:04:56 得分 5
呵呵
现在的病毒真的很恐怖
妈的Top
9 楼Purpleendurer(编程—>任是无情也动人^_^)回复于 2006-06-30 17:37:22 得分 15
http://endurer.blogchina.com/4634161.html
遭遇Trojan.PSW.Lmir等病毒(第4版)
关键词: 病毒,杀毒,Trojan.PS
endurer 原创
2006-03-16 第4版 补充Kaspersky对a.exe的反应。
2006-03-14 第3版 补充江民回复:setup.exe不是病毒。
2006-03-11 第2版 补充了具体处理过程
2006-03-10 第1版
昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。
我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助手的系统修复功能,还是不行,让我帮忙看看。
朋友的电脑比较老,使用的是Win 98。进入桌面后不断提示Explorer.exe出错,想正常关机都不行。
按Reset按钮,强制重新启动,按F8键,选择Safe Mode,进入安全模式,不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在,扫描log,发现如下可疑或需要修复的项目:
--------------------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)
Running processes:
C:\WINDOWS\WINLOGON.EXE
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\PROGRAM FILES\PCDOWNLOADER\BHOPLUGIN.DLL
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CNSHOOK.DLL
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\rundll32.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:\PROGRAM FILES\YISOU\YISOU.DLL/232
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\SYSTEM\DLMain.dll
--------------------------------------------------------------------------------
原来朋友是用雅虎助手来修复的,真是“与虎谋皮”。
到控制面板的“添加删除程序”里想把雅虎助手卸载,不想这东东居然要在线卸载,而Win 98的安全模式是不连网的。先把IE-BAR等几个可疑的项目卸掉了。
在log中,进程C:\WINDOWS\WINLOGON.EXE出现的有点怪,因为安全模式下
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
这项不会被系统执行。
找到
--------------------------------------------------------------------------------
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\SYSTEM\rundll32.com
C:\WINDOWS\SYSTEM\regedit.com
C:\WINDOWS\SYSTEM\Msconfig.com
C:\WINDOWS\SYSTEM\finder.com
C:\WINDOWS\SYSTEM\dxdiag.com
C:\WINDOWS\TEMP\a.exe
C:\WINDOWS\TEMP\b.exe
C:\WINDOWS\finder.com
C:\WINDOWS\Internet.exe
C:\WINDOWS\system.exe
C:\WINDOWS\Winlogon.exe
--------------------------------------------------------------------------------
Top
10 楼Purpleendurer(编程—>任是无情也动人^_^)回复于 2006-06-30 17:37:36 得分 0
(继)
等可疑文件,为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator,打包备份后删除。
接着问题就来了,运行程序时提示找不到C:\WINDOWS\ExERoute.exe。
原来C:\WINDOWS\ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe!
这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老,无USB接口,用软盘拷来瑞星注册表修复工具,不料软驱读软盘出错!
只好手工到注册表里修改,把regedit.exe改成regedit.com,进入注册表编辑器,修复了EXE文件关联。
用HijackThis修复了前面所列的项目。
重新启动电脑,这次进入Windows不再提示explorer.exe出错了,
运行瑞星杀毒助手,使用瑞星在线免费扫描,发现35个染毒文件:
--------------------------------------------------------------------------------
文件名 病毒名
C:\WINDOWS\SYSTEM\rundll32.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\MSCONFIG.COM Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com Trojan.PSW.Lmir.jag(Kaserpersky报为Trojan-PSW.Win32.Lmir.aov)
C:\WINDOWS\SYSTEM\dxdiag.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\regedit.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\command.pif Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\rundll32.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\ca.exe>>b.EXE Trojan.PSW.Lmir.jbg(Kaspersky实时监控不报,手动扫描报为Trojan-PSW.Win32.Lmir.aoe)
C:\WINDOWS\SYSTEM\qq.exe.bak Trojan.PSW.LMir.jdc(Kaspersky报为Trojan-PSW.Win32.Lmir.aqo)
C:\WINDOWS\SYSTEM\DLMon.dll Trojan.DL.Agent
C:\WINDOWS\SYSTEM\DLMain.dll.del Trojan.DL.Agent(Kaspersky报为Trojan-Downloader.Win32.Agent.ue)
C:\WINDOWS\SYSTEM\regedit.com.bak Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\Msconfig.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\dxdiag.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\TEMP\a.exe.bak Dropper.PSW.Lmir.agd(Kaspersky报为Trojan-PSW.Win32.Lmir.ash)
C:\WINDOWS\TEMP\b.exe.bak Trojan.PSW.Lmir.jje
C:\WINDOWS\Temporary Internet Files\Content.IE5\OHM7O5Y7\a[1].exe Dropper.PSW.Lmir.agd
C:\WINDOWS\Temporary Internet Files\Content.IE5\KBLFIAZT\qq[2].hta Script.Taorao.a (Kasersky报为Trojan-Dropper.VBS.Taorao)
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\9[1].exe Trojan.PSW.LMir.jdc
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\10[1].exe>>b.EXE Trojan.PSW.Lmir.jbg
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\11[1].exe Trojan.PSW.LMir.jdc
C:\WINDOWS\Temporary Internet Files\Content.IE5\SNXFUIN1\b[1].exe Trojan.PSW.Lmir.jje
C:\WINDOWS\72896.DLL Trojan.PSW.LMir.jdc
C:\WINDOWS\explorer.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\finder.com Trojan.PSW.Lmir.jag
C:\WINDOWS\explorer.com Trojan.PSW.Lmir.jag
C:\WINDOWS\1.com.bak Trojan.PSW.Lmir.jag
C:\WINDOWS\finder.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\Internet.exe.del Trojan.PSW.LMir.jdc
C:\WINDOWS\system.exe.del>>Unpack Trojan.Clicker.VB.cd(Kaspersky报为Trojan.Win32.VB.aat)
C:\WINDOWS\1.com Trojan.PSW.Lmir.jag
C:\WINDOWS\Winlogon.exe.del Trojan.PSW.Lmir.jag
C:\WINDOWS\ExERoute.exe.bak Trojan.PSW.Lmir.jag
C:\Program Files\Common Files\iexplore.pif Trojan.PSW.Lmir.jag
C:\Program Files\Internet Explorer\iexplore.com Trojan.PSW.Lmir.jag
--------------------------------------------------------------------------------
都用瑞星杀毒助手解决了。
发现原来被改名的病毒文件又出来了,看看关联了.EXE文件的ExERoute.exe每次运行时都会检查病毒文件,不存在则重新创建。
由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!
看来以后运行系统内置命令还得指明扩展名。
另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数。
另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper
【作者: endurer】【访问统计:3733】【2006年03月10日 星期五 23:28】【 加入博采】【打印】
Trackback
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=4634161Top
11 楼avril1986swj(哈密瓜)回复于 2006-07-01 19:04:37 得分 0
好东西!
学习ING……
UP!Top
12 楼ccs02287(☆兜兜里有糖☆偶滴兜兜里有糖,你和我玩不?)回复于 2006-07-01 22:23:15 得分 0
学习…………
顶咯……Top
13 楼liangzhimaomao()回复于 2006-07-01 23:14:16 得分 0
好东西!
Top
相关问题
关键词
得分解答快速导航
相关链接
广告也精彩
反馈
