陶瓷企业！请检查贵司网站是否被利用投放病毒

    以下为网友对此病毒的详细解释和查杀过程

    OnLineGames（auto.exe）的详细分析及清除

    作者：秋天的童话 2007-11-09 12:25:02

    标签：

    前几天中了这个，卡巴杀了好多次说重新启动后删除，可是还是删不了，重启好多次之后我无意中看到进程里一个3开头的进程出来一下就没有了，到32目录下看到真有这个东西就删了，还删了几个和那个auto.exe创建时间一样的exe，现在系统好像没有事情了，反正卡巴查不出来了也不杀了，我全盘杀毒后ghost一个准备打2003 sp1补丁，因为我的机器上次打上补丁蓝屏了，我这次想再试试。到网上看了 zamjdll和auto.exe的资料找到一个貌似很专业的拿给大家分享。等下我这样看看系统到底有没有事情。大家要仔细看好像不是图片里的注册表项都可以删，后边两个应该是选中的要删。我这么看的，大家自己仔细看，我看的不对大家给我留言我改正。

    昨天在实验室陈师兄找我，说范老师的笔记本不能用了，卡巴也不工作了，屁颠屁颠的跑过去，搞定了，取了个样本回来，好好分析了下，那是真真的U盘传播的木马群。

    病毒Trojan-PSW.Win32.OnLineGames.fxk，这个是在瑞星病毒疫情检测网做4号交椅的，其主要是通过U盘传播，也就是这个auto.exe。

    auto.exe的属性：

    MD5：925e364b027fbb04fb253f7a2014e092

    大小：18,986 字节

    症状：

    1，U盘传播

    2，启动时自动打开系统分区，如C:盘，并自动复制到每个盘的根目录下，设置为隐藏，同时生成autorun.inf

    内容为

    程序代码

    [AutoRun]

    open=auto.exe

    shellexecute=auto.exe

    shell\Auto\command=auto.exe

    3，引用了KERNEL32.DLL的FindWindowExA函数，嘿嘿，干嘛的？找卡巴的。如果系统有卡巴启动，自动将时间修改为2年前的今天，比如我的就被修改为2005.11.4，关闭卡巴6的监控，对卡巴7已没作用了

    4，有2个相同的程序同住内存，但是并不固定。

    我遇到的是C:\WINDOWS\swchost.exe（没启动卡巴）和C:\WINDOWS\swchost.IGM（启动卡巴）

    本文分页： [ 1 ]  [ 2 ]   [ 3 ]  [ 4 ]  [ 5 ]  [ 6 ]  [ 7 ]