行云无鸣

2008-05-03

dd3.exe,1800.exe手工移除方法

Filed under: 未分类 — 标签:, , , , , , , — hellyguo @ 22:08

中毒了,未知病毒,未知行为,诺顿没报,硬盘中毒后高速运行。

查看taskmgr(任务管理器)发现多了两个未见过的进程:dd3.exe,1800.exe

略略研究后发现该病毒释放文件:

%Temp%\dd3.exe,24064字节
%SystemRoot%\system32\1800.exe,13869字节

添加服务:
名字 windows_13
显示名 Windows Accounts Driver
描述 Network Connections Management
路径 C:\WINDOWS\system32\1800.exe

手工移除方法:
1.断网
2.用taskmgr终止dd3.exe及1800.exe
3.删除%Temp%\dd3.exe及%SystemRoot%\system32\1800.exe
4.用sc命令删除windows_13服务,命令:sc delete windows_13(限于XP以上系统)

2007-12-11

遭遇:alcwzrd.exe,ineters.exe,SoundMan.exe

Filed under: 未分类 — 标签:, — hellyguo @ 17:30

双休在家,发现家里的电脑中毒了,SoundMan.exe,诺顿无法干掉

那就手动!

msconfig看了看服务,滤掉微软自己的服务后,发现多了两个陌生的服务。应该就是了。再在网上确认一下,查到如下网页

和我想的一样,

释放文件:
c:\WINDOWS\system32\alcwzrd.exe
Date: 12-14-2006 2:29 PM
Size: 114,688 bytes
c:\WINDOWS\system32\ineters.exe
Date: 12-14-2006 2:29 PM
Size: 20,480 bytes
c:\WINDOWS\system32\SoundMan.exe
Date: 10-18-2006 9:47 PM
Size: 69,632 bytes
c:\WINDOWS\system32\tthh3.ini
Date: 11-28-2007 11:24 PM
Size: 3 bytes

增加启动项目:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc “ImagePath”
Old type: REG_EXPAND_SZ
New type: REG_EXPAND_SZ
Old data: %SystemRoot%\System32\svchost.exe -k netsvcs
New data: %SystemRoot%\system32\ineters.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “SoundMan”
Type: REG_SZ
Data: SoundMan.exe
SoundMan.exe是伪装为SoundMan的病毒程序,图标相同。

解决:

删除文件:
c:\WINDOWS\system32\alcwzrd.exe
c:\WINDOWS\system32\ineters.exe
c:\WINDOWS\system32\SoundMan.exe
c:\WINDOWS\system32\tthh3.ini

删除注册表项目:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run “SoundMan”

修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc “ImagePath”
将 %SystemRoot%\system32\ineters.exe修改为:
%SystemRoot%\System32\svchost.exe -k netsvcs

2007-09-07

redgirl木马清除[NtCmd3.exe][Distributed Link3]

Filed under: 未分类 — 标签:, — hellyguo @ 12:39

中木马了
NND,redgirl,网络红娘
还很隐蔽的
开机后,就发现啥也没做就有一个IE进程在运行,不断访问222.185.252.149。情形与
此处所写类似

郁闷了,我也装了SERV-U,也是从汉化新世纪下的,莫非……

不过毕竟不是想这些的时候
又找了找,看到这篇文章。按照这个处理,不行,隐藏服务名改了。

后来细细查看了事件查看器中的事件记录,发现服务名为”Distributed Link3“。
按图索骥,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Distributed Link3,果然就在这里。关联的主程序是c:\windows\system32\NtCmd3.exe,查看属性,伪装地跟真的微软自带的可执行文件 一样。就是这个,删除这个键值,再删除这个程序,就OK了。

注:原发于http://buffoon.blog.com.cn,但无法容忍速度及空间崩溃,移到此处

%d 博主赞过: