在上星期,本站下载站因为被入侵,部份软件的下载地址被修改了,新的下载地址里的软件里捆绑了木马.
部份被捆绑了木马下载器,下载大量木马,所以在分析上,研究清除方法,测试需时,所以到今天才正式发出清除的方法,实在抱歉.
常见问题
Q: 如何判断自己是否中招?
A:
-你上星期有到下载站下载东西
-
如果有,请作进一步检查
下载 System Repair Engineer 2 ,并保存到桌面 (由于SREng 官方Server出现问题,会员可以下载附件 SREng2.2.zip)
解开压缩包,运行SREng.exe
按 智能扫瞄 ,确保智能扫瞄下的项目已经全部打勾,再按 扫瞄
扫瞄完成后,按 保存报告 ,把报告保存到桌面
开启SREngLOG.log报告,如果有以下其中一个关键字,你已经中招了:
wdfmgr32.exe
ZhanYouSever.exe
Ravdm.exe
mswdm.exe
system16
Q: 大部份是什么木马?
A: 都是木马下载器和国产盗号木马,所以在清除后强烈建议你修改你QQ,论坛,游戏中的密码
清除方法:
由于其中一只木马用随机文件名,随机生成不同的位置,所以下面的步骤可能多一点
请先退出QQ程序,下载 + 解压 crsky.zip
这时桌面上会多了一个 crsky 文件夹,运行Bfu.exe。
重新启动电脑,按 F8 进入安全模式
点击 文件夹 按钮并在这里选择 crsky 文件夹内的crsky.bfu 。
按 Execute 执行清除操作。
最后会弹出一个 cmd 窗口,这 batch 会搜索所有怀疑有问题的档案
由于要搜索整个系统分区,所以会花 15 - 30 分钟, 请耐心等候, 当搜索完成后,一个记事本会弹出,显示有问题的文件,结果 result.txt 放在crsky文件夹
请到QQ自定义安装路径下 (比如C:\Program Files\QQ) 检查是否有 TIMPlatFrom.exe 的存在,确认存在该文件后,请删除木马文件TIMPlatform.exe,然后将TIMPlatfrom.exe改名为TIMPlatform.exe
重新启动你的电脑 , 根据 result.txt ,如果文件名称是由 8 个英文字 组成, 请删除列出的文件!
清除后强烈建议你修改你QQ,论坛,游戏中的密码
Crsky.zip 下载地址:http://berrykwok.hits.io/Crsky.zip
SREng2[1].2.zip 下载地址:http://berrykwok.hits.io/SREng2[1].2.zip
