瑞星卡卡安全论坛

这两天，报告感染这个木马的帖子多了。我拿到的样本：感染系统后，可见SVCH0ST.EXE进程；另一个朋友报告的进程名是windows.exe。看样子病毒进程名是可变的。其特点是：感染系统后，在每个分区的根目录下创建一个名为WEB的可执行文件（图标为文件夹）。

这个木马的手工查杀方法如下：

1/结束病毒进程SVCH0ST.EXE（或其它进程名，如：windows.exe）。注意：SVCH0ST.EXE中的"0"是数字；而不是英文字母。
2/删除病毒文件(图)
3/清理注册表:

定位到: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"=dword:00000001改为:"HideFileExt"=dword:00000000

定位到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除:"Net"="C:\\windows\\system32\\SVCH0ST.EXE"

定位到: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

删除:"Load"="C:\\windows\\assistse.exe"

附件: 155847200581174126.jpg

收到

学习中，检查了自己的，没有发现。
谢谢。

多谢BAOHE。

学习一下.

学习了

收到。

SVCH0ST.EXE中的"0"是数字；而不是英文字母。
SVCHOST 和SVCH0ST 用肉眼很难分别唉～～
请问搂住解决办法

引用:

【不点的老公的贴子】SVCH0ST.EXE中的"0"是数字；而不是英文字母。 SVCHOST 和SVCH0ST 用肉眼很难分别唉～～ 请问搂住解决办法 ...........................

用ICESWORD很容易分辨出来.

我好象也中了，用手动的杀不行，有点不一样
有专杀工具吗？

谢了

各位朋友；
  我的QQ中毒了，该用什么杀啊？
  求救！！！！！！！！

学习了.

昨天看到关于这个的日志了，日志上只能看出SVCH0ST.EXE和Sfc2.dll

引用:

【不点的老公的贴子】SVCH0ST.EXE中的"0"是数字；而不是英文字母。 SVCHOST 和SVCH0ST 用肉眼很难分别唉～～ 请问搂住解决办法 ...........................

把数字0和字母O输入在记事本中，一目了然

引用:

【天天泡泡的贴子】 把数字0和字母O输入在记事本中，一目了然 ...........................

昨天也有人问这个问题。在任务管理器中确实难以分辨（眼神儿不好者尤甚）。
另外，WINDOWS那个任务管理器还经常被病毒封杀。晕！因此，强烈推荐朋友们下载一个IceSword。

引用:

【baohe的贴子】 昨天也有人问这个问题。在任务管理器中确实难以分辨（眼神儿不好者尤甚）。 另外，WINDOWS那个任务管理器还经常被病毒封杀。晕！因此，强烈推荐朋友们下载一个IceSword。 ...........................

呵呵，这两个确实不容易辨别。
IceSword问题是很多人还不会用

请版主帮我看看
0        System Idle Process
4        System
428      C:\WINDOWS\system32\smss.exe
476      C:\WINDOWS\system32\csrss.exe
500      C:\WINDOWS\system32\winlogon.exe
544      C:\WINDOWS\system32\services.exe
556      C:\WINDOWS\system32\lsass.exe
708      C:\WINDOWS\system32\svchost.exe
764      C:\WINDOWS\system32\svchost.exe
832      C:\WINDOWS\system32\svchost.exe
888      C:\WINDOWS\system32\svchost.exe
916      C:\WINDOWS\system32\svchost.exe
936      C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
1000      C:\PROGRAM FILES\RISING\RAV\RavStub.exe
1184      C:\WINDOWS\system32\spoolsv.exe
1412      C:\WINDOWS\explorer.exe
1504      C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
1512      C:\PROGRA~1\RISING\RAV\RAVMON.EXE
1520      C:\WINDOWS\system32\ctfmon.exe
1580      C:\PROGRA~1\SkyNet\Firewall\PFW.exe
2020      E:\工具软件\木马扫描\security suite\ewidoctrl.exe
2032      E:\工具软件\木马扫描\security suite\ewidoguard.exe
156      C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
1760      C:\WINDOWS\system32\alg.exe
2520      C:\Program Files\Internet Explorer\iexplore.exe
2212      C:\WINDOWS\system32\svchost.exe
2180      C:\WINDOWS\system32\taskmgr.exe
3744      E:\工具软件\进程查看器\PrcMgr.exe
有没有中毒？我在C盘搜索到Web这样一个文件夹，在其它盘中没有，是不是也中毒了。

●●●Trojan.PSW.LMir.adr这病毒怎么杀啊●瑞星升级后还是杀不了啊●各位{大哥大姐}给点意见●我现在不把防火墙退了不能上网●每次启动后都要先退了防火墙才能上网●郁闷啊●很容易被人攻击的●十万火急！！求救！！！！！！！●●●●●●（@^@）

●●●Trojan.PSW.LMir.adr这病毒怎么杀啊 ●瑞星升级后还是杀不了啊●各位{大哥大姐}给点意见●我现在不把防火墙退了不能上网●每次启动后都要先退了防火墙才能上网●郁闷啊●很容易被人攻击的●十万火急！！求救！！！！！！！●●●●●●（@^@）详细内容2005-08-02 00:13:45, explorer.exe>>C:\WINDOWS\System32\CQ0dll.dll ->Trojan.PSW.LMir.adr

引用:

【神无的贴子】请版主帮我看看 0        System Idle Process 4        System 428      C:\WINDOWS\system32\smss.exe 476      C:\WINDOWS\system32\csrss.exe 500      C:\WINDOWS\system32\winlogon.exe 544      C:\WINDOWS\system32\services.exe 556      C:\WINDOWS\system32\lsass.exe 708      C:\WINDOWS\system32\svchost.exe 764      C:\WINDOWS\system32\svchost.exe 832      C:\WINDOWS\system32\svchost.exe 888      C:\WINDOWS\system32\svchost.exe 916      C:\WINDOWS\system32\svchost.exe 936      C:\PROGRAM FILES\RISING\RAV\Ravmond.exe 1000      C:\PROGRAM FILES\RISING\RAV\RavStub.exe 1184      C:\WINDOWS\system32\spoolsv.exe 1412      C:\WINDOWS\explorer.exe 1504      C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE 1512      C:\PROGRA~1\RISING\RAV\RAVMON.EXE 1520      C:\WINDOWS\system32\ctfmon.exe 1580      C:\PROGRA~1\SkyNet\Firewall\PFW.exe 2020      E:\工具软件\木马扫描\security suite\ewidoctrl.exe 2032      E:\工具软件\木马扫描\security suite\ewidoguard.exe 156      C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE 1760      C:\WINDOWS\system32\alg.exe 2520      C:\Program Files\Internet Explorer\iexplore.exe 2212      C:\WINDOWS\system32\svchost.exe 2180      C:\WINDOWS\system32\taskmgr.exe 3744      E:\工具软件\进程查看器\PrcMgr.exe 有没有中毒？我在C盘搜索到Web这样一个文件夹，在其它盘中没有，是不是也中毒了。 ...........................

C:\WINDOWS\下本来就有Web文件夹（正常）。请你看清我说的内容：“在硬盘每个分区的根目录下创建一个名为Web的可执行文件，这个可执行文件的图标是文件夹图标。”。明白？

顶 多谢BAOHE

【回复“baohe”的帖子】哦，谢了，

引用:

【yuanqiqi的贴子】●●●Trojan.PSW.LMir.adr这病毒怎么杀啊 ●瑞星升级后还是杀不了啊●各位{大哥大姐}给点意见●我现在不把防火墙退了不能上网●每次启动后都要先退了防火墙才能上网●郁闷啊●很容易被人攻击的●十万火急！！求救！！！！！！！●●●●●●（@^@）详细内容2005-08-02 00:13:45, explorer.exe>>C:\WINDOWS\System32\CQ0dll.dll ->Trojan.PSW.LMir.adr ...........................

用瑞星查杀下面文件
C:\Program Files\explorer.exe

引用:

【baohe的贴子】 C:\WINDOWS\下本来就有Web文件夹（正常）。请你看清我说的内容：“在硬盘每个分区的根目录下创建一个名为Web的可执行文件，这个可执行文件的图标是文件夹图标。”。明白？ ...........................

乍样区别 0和O 在进程里？我实在是分不出来了，急！

引用:

【水份的贴子】 引用: 【baohe的贴子】 C:\WINDOWS\下本来就有Web文件夹（正常）。请你看清我说的内容：“在硬盘每个分区的根目录下创建一个名为Web的可执行文件，这个可执行文件的图标是文件夹图标。”。明白？ ........................... 乍样区别 0和O 在进程里？我实在是分不出来了，急！ ...........................

建议用IceSword。一目了然。IceSword是个免费软件，网上可以找到。

有两个问题
1
定位到: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt"=dword:00000001改为:"HideFileExt"=dword:00000000
我发现我的值为“00001000”我一样改了“00000000”
2
我找不到在SYSTEM32下的
sfc2.dll
SVCHOST
两个文件，其他的都删了`
3
不知道是不是我改错了以上的地方，还是心理作用
我重启后，那个病毒是没有了
我发现我机器好卡！~~

引用:

【吕望的贴子】有两个问题 1 定位到: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced "HideFileExt"=dword:00000001改为:"HideFileExt"=dword:00000000 我发现我的值为“00001000”我一样改了“00000000” 2 我找不到在SYSTEM32下的 sfc2.dll SVCHOST 两个文件，其他的都删了` 3 不知道是不是我改错了以上的地方，还是心理作用 我重启后，那个病毒是没有了 我发现我机器好卡！~~ ...........................

这个病毒可能有变种。如果你删掉的病毒文件还在回收站中，请还原一下，打包传上来。我想看看。到目前为止，我只拿到了一个样本。

对不起~
我习惯按SHIFT删的~
下次有这种情况我知道该怎么做了~
不过现在一切正常了
谢谢 斑竹 ：）

问题是我下载了IceSword，还是看不出来，怎么办，0和O完全是一样的，怎么办，我的进程表里有4个SVCHOST.EXE 文件。用户名不一样，2个是SYSTEM，1个是LOCAL SERVICE ，1个是NETWORK SERVICE
请问斑竹，怎么办，IceSword我不会用，不敢用，我敢肯定我中毒了，