昨天一位网友从某网站下载了一个绿色版的软件,双击了几次都没有什么显示,系统反应变慢,觉得不对头,重启电脑后情况依旧,于是请我帮忙看看。
打开任务管理器,发现一些可疑进程,先终止了explorer.exe,再新建任务,运行HijackThis扫描log,发现如下可疑项目:
/------------ Logfile of HijackThis v1.99.1 Scan saved at 20:15:37, on 2006-10-16 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:/Program Files/Common Files/update2/Update.exe C:/DOCUME~1/y168/LOCALS~1/Temp/~nsu.tmp/Au_.exe O4 - HKLM/../Run: [Str3] hongqt O4 - HKLM/../Run: [LongData] 焼 O4 - HKLM/../Run: [BinaryData] "3D梯 O4 - HKLM/../Run: [Update] C:/Program Files/Common Files/update2/Update.exe O16 - DPF: {5932517A-3326-4439-A708-1C98EDB5C549} (Downloader Class) - file://C:/Documents and Settings/All Users/Application Data/Share Helper/Cast/GGS/d8f6fba154/js/iMopDl.cab O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:/WINDOWS/464d7300.dll (file missing) ------------/ 把进程: C:/Program Files/Common Files/update2/Update.exe C:/DOCUME~1/y168/LOCALS~1/Temp/~nsu.tmp/Au_.exe
终止了。
用WinRAR找到:
C:/Documents and Settings/user/Local Settings/~nsu.tmp/Au_.exe
查看属性,是千橡互联发的东东,汗!
发现:
C:/Documents and Settings/user/Local Settings/Temp/RarSFX0/benben.exe
是个自解压文件,执行脚本为:
/------------------- TempMode Silent=1 Overwrite=1 setup=bind_40234.exe Overwrite=1 setup=31.exe Overwrite=1 setup=mp56.exe -------------------/ 会释放如下3个文件: /------------------- 2005-12-14 13:00 28,672 31.exe(www.mmwan.com开发) 2006-09-04 20:38 37,648 mp56.exe(宏网超级搜霸在线安装程序) 2006-10-16 12:48 20,480 bind_40234.exe -------------------/
而 C:/WINDOWS/system32/temp.EXE 是 Sogou Express Installer。
而该网友下载回来的“绿色版”软件是个名为jiekshijf.exe,长度为100多KB的文件,而那个软件正常的话文件大小应该近5MB。明显不对嘛,留心点的话会发现问题了。
这个jiekshijf.exe包含:
/------------------- TempMode Silent=1 Overwrite=1 setup=bind_40234.exe Overwrite=1 setup=31.exe Overwrite=1 setup=mp56.exe -------------------/ 会释放如下3个文件: /------------------- 2005-12-14 13:00 28,672 31.exe(www.mmwan.com开发) 2006-09-04 20:38 37,648 mp56.exe(宏网超级搜霸在线安装程序) 2006-10-16 12:48 20,480 bind_40234.exe -------------------/
如果运行前先用杀毒软件扫描一下,也不会这么容易中招。
都删除了。
用HijackThis修复下面所列的项目。
清空IE临时文件夹和系统临时文件夹。
