CFEDAC5E.dll,CFEDAC5E.dat(Trojan-PSW.Win32.OnLineGames.mu)的
发布时间:2012-04-15 01:22:49作者:知识屋
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
本文的眼:IFEO劫持 比比皆是...
实战案例
问题:某同事WL,今天告诉我他的卡巴斯基启动不了,CAD也起不来。过去一看,发现很多EXE点击无反应,即使改成.com后缀也不行。一下就想到了 IFEO劫持,打开注册表一看(还好丫的没屏蔽regedit.exe),蔚为壮观,稍微有些名气的都挂了...如卡巴、瑞星、360safe等,hijackthis.exe也不能幸免。。
|
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360rpt.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360Safe.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options360tray.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsadam.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAgentSvr.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAppSvc32.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsautoruns.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavgrssvc.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsAvMonitor.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.com]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsavp.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsCCenter.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsccSvcHst.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFileDsty.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsFTCleanerShell.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsHijackThis.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIceSword.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionsiparmo.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsIparmor.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsisPwdSvc.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Optionskabaload.exe]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsKaScrScn.SCR] |
既然普通的删除工具不管用,只有祭出 XDELBOX, CMD下:C:PROGRA~1COMMON~1MICROS~1MSINFO用ATTRIB看到有两个 SHR 属性的文件,CFEDAC5E.dll和CFEDAC5E.dat。
操作部分:使用XDELBOX先填入这两个(CFEDAC5E.dll和CFEDAC5E.dat),立即重启后删除,发现 SRENG能用了,又删了几个灰鸽子和小木马。
将病毒添加的IFEO劫持条目全部删除(上面方框中的红字部分),重启后卡巴恢复了活力,扫描内存中的病毒,54个全部成功杀掉... 打ANI漏洞补丁,升级最新的XP关键更新,收工,感谢云云不再赘述。。。
将样本发到我机子上用卡巴一扫居然是Trojan-PSW.Win32.OnLineGames.mu
卡巴报毒显示:
|
已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.mu 文件: F:Documents and Settingsqiu桌面临时【样本】wangLiCFEDAC5E.dll 已删除: 木马程序 Trojan-PSW.Win32.OnLineGames.mu 文件: F:Documents and Settingsqiu桌面临时【样本】wangLiCFEDAC5E.dat/UPX |
知识阅读
软件推荐
更多 >
-
1
盘点四十年来史上著名计算机病毒2013-07-17
-
2
SiZhu.exe、HBKernel32.sys、HBTL.dll、HBmhly.dll、llwzjy08092
-
3
如何彻底删除木马小技巧
-
4
安全上网软硬兼施 带你走近安全路由的世界
-
5
36Otray.exe、sysave.exe、LotusHlp.exe、338448M.exe、GDQQHXI3
-
6
关于病毒感染文件的问答
-
7
木马“肉鸡控制者”最新变种主要特点
-
8
ntfis.exe,qfpUt.exe,WCsQZ.exe,syschunk.dll,BandRes.dll,TaskS
-
9
Windows64.Sys、zzz.sys、MSDOS.bat、WndHook.dll、tisqdtyu.dll
-
10
走近病毒的世界-SysAnti.exe病毒变种浅析
