今天晚上发现自己也中了这种木马,通过SRE扫描日志我在安全模式下手动删除了:
C: \syswm1i\svchost.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie777.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\cmdbc.exe
C:\WINDOWS\8.exe
C:\WINDOWS\system32\servet.exe
及对应文件:
C: \syswm1i\ghook.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\WINDOWS\winform.dll
C:\WINDOWS\mppds.dll
C:\WINDOWS\msccrt.dll
C:\WINDOWS\cmdbc.dll
在注册表里面删除了:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie777.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<winform><C:\WINDOWS\winform.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> [N/A]
<upxdnd><C:\WINDOWS\TEMP\upxdnd.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> [N/A]
<cmdbc><C:\WINDOWS\cmdbc.exe> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<333><C:\Syswm1i\svchost.exe>
之后我就用超级兔子的清理系统功能对系统进行清理,完后在用卡吧斯基杀毒:
卡吧又杀到:
木马程序Trojan-Downloader.win32.small.ecq
文件:C:\WINDOWS\system32\msgcom.dll/Petite
结果msgcom.dll被删除
木马程序Trojan.win32.Qhost.bi
文件:C:\WINDOWS\system32\drivers\etc\hosts
结果hosts被删除
木马程序Rootkit.win32.Vanti.er
文件:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nu.dll
结果nu.dll被删除
现在电脑暂时没什么情况,之前一天也有中毒,只是没删除的干净,这次弄了很久,应该算成功拉。这些只做大家的参考,有些与楼主的不一样,但可以肯定的是这些都是病毒。都是系统漏洞的缘故,不知道到哪里可以下载补丁,要不以后还是可能在次染毒。
