endurer 原創
2006-09-05 第2版
2006-08-30 第1版
有一位網友的電腦,不定期彈出 hxxp://www.71791.com 等廣告視窗。
使用HijackThis(可以到 http://endurer.ys168.com 下載下傳)掃描log,發現可疑項:
/-----------
Logfile of HijackThis v1.99.1
Scan saved at 21:32:36, on 2006-8-29
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:/WINDOWS/System32/Realplayer.exe
O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:/Program Files/P4P/sodaie.dll (file missing)
O2 - BHO: shdocvwhlp Class - {BE442802-3911-46E0-B227-076B15A4EAD3} - C:/WINDOWS/System32/mskey16.dll
O4 - HKLM/../Run: [webService] systems.exe
O4 - HKLM/../Run: [Realplayer.exe] C:/WINDOWS/system32/Realplayer.exe
O4 - HKCU/../Run: [Realplayer.exe] C:/WINDOWS/system32/Realplayer.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O7 - HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/System, DisableRegedit=1
O16 - DPF: {28E0FA88-ABA8-4937-A247-3031F1A11165} (Installer Class) - hxxp://pi.51.net/download/diybar2.cab
O16 - DPF: {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - hxxp://kuaiso.com/toolsbar/Kuaiso.cab
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) - hxxp://tb.sogou.com/DLLoader.cab
O23 - Service: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:/WINDOWS/System32/netstart.exe
-----------/
重新開機電腦到安全模式
停止并禁用服務:Remote Managements Instrumenta (Remss_Ser)
終止程序:C:/WINDOWS/System32/Realplayer.exe
用 WinRAR找到檔案:
/-----------
C:/AUTOEXEC.hta
C:/WINDOWS/systems.exe(DrWeb 報為 Trojan.Click.1363,瑞星報為 Trojan.StartPage.tal)
C:/WINDOWS/System32/brlmon.dll
C:/WINDOWS/System32/Realplayer.exe(Kaspersky 報為 Trojan-Downloader.Win32.Agent.aqr)
C:/WINDOWS/System32/netstart.exe(瑞星報為 Trojan.StartPage.boa)
-----------/
打包備份後删除。
![《JAVA程式設計思想》第四版學習 需要我記住的something –持有對象[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)