endurer 原创2007-02-06 第1版
一位网友的电脑开机启时弹出错误信息框,说找不到文件helper.dll,让偶通过QQ远程协助帮忙检修。
用HijackThis扫描log,发现了雅虎/3721上网助手的启动项,卸载了。
用HijackThis扫描启动项列表,发现一些可疑服务:/-----StartupList report, 2007-2-6, 12:13:07StartupList version: 1.52.2Started from : F:/tools/HijackThis.EXEDetected: Windows XP SP2 (WinNT 5.01.2600)
Enumerating Windows NT/2000/XP services========================bhjhbjgi: system32/drivers/bhjhbjgi.sys (system)ddajddgf: system32/drivers/ddajddgf.sys (system)hcbiajgf: system32/drivers/hcbiajgf.sys (system)hyrenoym: System32/DRIVERS/hyrenoym.sys (system)-----/对应的文件都不存在了,到注册表里删除这些服务启动项。
手动检查,在c:/windows下发现三个可疑文件:
文件说明符 : D:/test/1757.exe属性 : ----获取文件版本信息大小失败!创建时间 : 2002-2-8 12:31:42修改时间 : 2007-2-6 12:45:52访问时间 : 2007-2-6 12:50:24大小 : 53248 字节 52.0 KBMD5 : 904079ba8515ad11468bbb8a1f115915是个自解压文件:/-----;以下注释包含自解压压缩包脚本命令Setup=setup.exeTempModeSilent=1Overwrite=1-----/
文件说明符 : D:/test/199019002.exe属性 : ----获取文件版本信息大小失败!创建时间 : 2002-2-8 12:31:42修改时间 : 2007-2-6 12:45:52访问时间 : 2007-2-6 12:56:24大小 : 53248 字节 52.0 KBMD5 : c035ac8901090e9b37a6914c9808445a
是个自解压文件:/-----;下面的注释包含自解压脚本命令
Setup=downl.exe 199019002TempModeSilent=1Overwrite=1-----/包含文件:hbcast.dll,Kaspersky报为:not-a-virus:AdWare.Win32.HengBang.t
文件说明符 : D:/test/ss10212.EXE属性 : ----获取文件版本信息大小失败!创建时间 : 2002-2-8 12:31:42修改时间 : 2007-2-6 12:45:52访问时间 : 2007-2-6 13:06:24大小 : 53248 字节 52.0 KBMD5 : 1e51a45c87befb1f15067bc5f50ac950从图标和文件大小上看,像是一个灰鸽子其实是个安装程序,Kaspersky扫描,发现:Trojan.Win32.Zapchast.clnot-a-virus:AdWare.Win32.NewWeb.f
都删除了。
