12   1  /  2  页   跳转

Trojan.DL.Small.ixk查杀方法【推荐】

收藏
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-20 13:44 | 显示全部 短消息 资料
字号: 1楼

Trojan.DL.Small.ixk查杀方法【推荐】

近几天论坛上出现了一些关于这个病毒的求助帖,病毒文件路径为C:\WINDOWS\System32\DLMon.dll。
经过查看在反病毒论坛的多个相关日志,初步分析,解决步骤其实一点都不困难:
此方法以XP系统为例:

用HijackThis(http://forum.ikaka.com/topic.asp?board=28&artid=6979213第1楼附件中下载)导出日志

修复:
O21 - SSODL: SysTrays - {590498A3-4131-4D8F-BA4B-36791A9803B1} - C:\WINDOWS\System32\DLMain.dll


重启后删除:
C:\WINDOWS\System32\DLMain.dll
C:\WINDOWS\System32\DLMon.dll(如果还有的话)。

(求助的会员看到这里就够了,以下属于讨论内容:)

这样的方法一点都不复杂,而且只要导出HijackThis日志,几乎所有懂看日志的人都会要求求助会员修复这一项。
然而,却有一个会员,在求助之后,足足拖了两天才解决问题。其原因,非常简单,当一开始求助的时候,某位热心的会员要求求助会员导出SREng日志。而当时在长篇的SREng日志中根本找不到这个病毒的身影,因为SREng根本不扫描这个项目!!!
因为大家一头扎在SREng日志中被迷失了方向,最后我建议该会员导出Autoruns日志,这才重新发现了这一项,Autoruns日志中的项目为:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

+ SysTraysc:\windows\system32\dlmain.dll

这个项目与上文所说的HijackThis的O21项完全对应!

“不言放弃”在http://forum.ikaka.com/topic.asp?board=28&artid=8031812中就告诫求助的会员:
“若用HIJACKTHIS就能解决问题
就没有必要使用System Repair Engineer导出日志”
然而没有引起足够的重视。现在要再次重申,HijackThis与System Repair Engineer,乃至于其他工具之间,各有所长,不存在谁能完全代替谁的问题。

6月10日,System Repair Engineer 2.0.21.505 (2.0 RC 2)新版发布,终于增加了这个项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<DLMon><C:\WINDOWS\System32\DLMain.dll> []
这是个比较重要的改善。而且发现,现在的这一项变成这个样子,直接以“DLMon”为键名,这实在是太明显了。
另外,刚刚发现反病毒论坛置顶帖中已取消HijackThis的下载。的确随着System Repair Engineer 2.0.21.505 (2.0 RC 2)的推出,从它的扫描范围来看,它几乎可以代替HijackThis了,而且更为详尽。不过HijackThis毕竟操作起来简单一些。大家可以下载System Repair Engineer 2.0.21.505 (2.0 RC 2)来解决这个问题,如果还想用HijackThis,可以到反浏览器劫持论坛的置顶帖http://forum.ikaka.com/topic.asp?board=67&artid=5188931中下载
最后编辑2006-06-22 19:18:54
分享到:
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-20 17:09 | 显示全部 短消息 资料
字号: 2楼

引用:
【阿杜QQ的贴子】步骤一 启动计算机进入安全模式; ((前人方法))转

步骤二 点击开始 > 设置 > 控制面板,双击打开添加或删除程序,在当前安装的程序列 表中选择到WinDirected 2.0,点击更改/删除按钮将此程序卸载;

步骤三 清除IE缓存文件。方法是打开IE浏览器,点击工具 > Internet选项,在常规选项卡里点击删除文件按钮,在弹出的对话框中勾选删除所有脱机内容,然后点击确定;

步骤四 删除以下文件夹(如果存在的话)
C:\Windows\System32\mscache
步骤二 点击开始 > 设置 > 控制面板,双击打开添加或删除程序,在当前安装的程序列表中选择到WinDirected 2.0,点击更改/删除按钮将此程序卸载;

步骤三 清除IE缓存文件。方法是打开IE浏览器,点击工具 > Internet选项,在常规选项卡里点击删除文件按钮,在弹出的对话框中勾选删除所有脱机内容,然后点击确定;

步骤四 删除以下文件夹(如果存在的话)
C:\Windows\System32\mscache
C:\Windows\System32\mscin
C:\Windows\System32\Dlmain.dll
C:\Windows\System32\DLMom.dll
步骤五运行-regedit,点编辑,查找,分别查找上面两个文件,然后把找到的删除,多查找几次

删除完后再用杀毒软件扫描下电脑 最后重启电脑

...........................


你列出的这些内容中除了与C:\Windows\System32\Dlmain.dll和C:\Windows\System32\DLMom.dll有关的内容外,属于对Trojan.DL.Small.ibr的处理方法,关于这个的处理可以参考不言放弃的帖子,里面说得更详细:
http://forum.ikaka.com/topic.asp?board=28&artid=7948848
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-25 23:31 | 显示全部 短消息 资料
字号: 3楼

引用:
【我无邪的贴子】谁说SREng日志不能发现这个病毒的身影?
当这个病毒在运行的时候,就可以在运行的进程发现它
如果不能发现,只表示这个病毒以经死亡。残留的,充其量只是系统里的垃圾。只要不加载,不删除其实也没有问题。
SREng能扫得到它,只是未给出清除的方法。
这个问题相信很快就能解决
因为SREng将在六月更新,我相信作者定能重视这个问题
至于用什么软件来修复,只是个人的一种爱好与信任,而大家关心的,只是解决问题,那管怎么的修复。
...........................

我丝毫没有贬低任何一个软件的意思。
SREng的确有时能发现这一项在进程中,但不是一定,可以参考http://forum.ikaka.com/topic.asp?board=28&artid=8059673和http://forum.ikaka.com/topic.asp?board=28&artid=8058514,在这两个帖子里,SREng日志中没有看到C:\WINDOWS\System32\DLMain.dll的存在,但是那位楼主的病毒却实实在在地存在着。我不知道为什么,我也纳闷,但事实就是这样而他修复了那一项并删除相应文件之后问题就解决了(参考http://forum.ikaka.com/topic.asp?board=28&artid=8068631中的话,当然这个帖子是在系统还原里找到病毒,但是之前的那次就绝对不是了)
我也期待SREng的完善,这跟大家的心情是一样的,指出它的不足就是希望它进一步完善和发展。
同时我也想说,用工具不要光盯着一个,还是博采众长比较好,在解决某个问题时可能有某一个工具更方便,另一个问题可能另一个工具会方便一些,工具与工具之间的确没有谁代替谁的问题,必须综合运用。习惯是个人的问题,解决方法也是殊途同归,从求助的会员的角度来考虑,我们是不是应该尽量选择一条最简便的方法给他们呢?
也许我的话说得绝对了一点,如果引起了你的误解或不快,实在很抱歉,但请你相信我并没有恶意。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-26 01:05 | 显示全部 短消息 资料
字号: 4楼

引用:
【我无邪的贴子】误会了,我不是不快,只是想为System Repair Engineer说话
难得你辛苦找到这几个帖子,只是你仔细看帖子,你相信会是dlmain.dll这个病毒惹出的问题吗?
dlmain.dll以经不在运行了,它只是一个空壳而已。
就像灰鸽子一样,只要把它的服务删除掉,即使不删除它的文件他也不能再加载。
其实我眼中并不只识System Repair Engineer,我也会灵活的使用多种工具修复。我只是把它当成默认就使用的扫描工具。因为它能发现很多Hijackthis不能发现的问题。
很不希望在使用了Hijackthis后,发现问题并未解决,又再要求扫描System Repair Engineer。我不怕累,只怕误人大事。
另外还要说句,Hijackthis很久不升级了,如果还是如此,用句很经典很悲哀的话,它将会离我们渐行渐远。
...........................

灰鸽子的例子举得好。在很多情况下,中灰鸽子的机子的日志里运行进程这块并没有灰鸽子的dll文件加载(被杀软搞掉了),但是重启后还是会有(因为它又重新运行了)。同样的,杀软杀了dlmon.dll,可是没有删掉dlmain.dll(如果有删掉,Autoruns中那一项应该有显示file not found),于是开机后又再发现病毒。我很怀疑是不是dlmain.dll开机后加载,完成创建dlmon.dll之后又退出了,不知道这是否可能?
我所做的,正是先把病毒文件的注册表项删掉(这时文件的确如你所说真正地变成空壳了),然后再把文件删掉。当然,反过来也可以说,删掉了文件,注册表项也成空壳了,所以只要能发现这个文件并删掉它,当然也可以搞定,问题是SREng日志当时真的看不到dlmain.dll,而它又确实存在。
至于它是否是罪魁,我也怀疑,但是它至少是相关的,而且的确搞定了它,病毒就不再能运行起来了。至于更深层次的原因,的确有进一步探讨的必要。
用System Repair Engineer作为首选工具,我同意,我现在也越来越多的这么做了,不过在此之前“先问清楚病毒的情况,确认一下病毒文件路径等基本信息”,对症下药效率会高一些吧,不言那句话应该也是这个意思。
至于对HijackThis的评价,我同意,它要是再不升级,真的很容易会误事的,当然这不等于它没有用。
你会看到,我们并没有实际的分歧,我们的目标都是一致的,都是怀着一颗热忱的心在与病毒作斗争,互相之间经验的交流和讨论也是必要的。难得的是我们终于涉及了“讨论”,而不是只是列出病毒的处理方法。相信版主把这个帖子置顶(这倒是我发帖时没有想到的),也有这方面的考虑,那么,我做个抛砖引玉的人,又何乐而不为?
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-26 01:29 | 显示全部 短消息 资料
字号: 5楼

引用:
【小乖..的贴子】楼主.我电脑中病毒的路径是C:\WINDOWS\System32\res.exe
是不是也可以用你这个方法杀毒啊?
...........................

呵呵,差别太大了,这个病毒的名称应该是Trojan.DL.QQHelper.gen吧?
新开一个主题帖,http://forum.ikaka.com/topic.asp?board=28&artid=6979213第5楼下载SREng导出日志发上来(其中有可能有的一个项目用HijackThis刚好看不到,是用到SREng的时候了)。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-26 01:45 | 显示全部 短消息 资料
字号: 6楼

先下载SREng,然后如何导出日志参考http://forum.ikaka.com/topic.asp?board=28&artid=7259392第3楼的有关内容操作。
记得发一个新主题帖。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-26 01:56 | 显示全部 短消息 资料
字号: 7楼

现在已经很晚了,必须要睡了,不过可以先告诉你初步的处理方法。
导出日志之后,找到这一项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<res><C:\WINDOWS\System32\res.exe>
用SREng在“启动项目”-“注册表”中删除这一项

重启后删除C:\WINDOWS\System32\res.exe(如果还有的话)

印象中这个文件瑞星应该可以杀掉,不过与之相关的可能有其他项目,瑞星就不一定全部可以杀掉了,有时还是要手动清理。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-26 13:19 | 显示全部 短消息 资料
字号: 8楼

【回复“QQ客服”的帖子】
O23 - Service: Gray_Pigeon_Server2.03 (GrayPigeonServer2.03) - - C:\WINDOWS\G_Server2.03.exe
这项是灰鸽子,参考http://forum.ikaka.com/topic.asp?board=28&artid=7713905处理。
C:\Program Files\SearchNet\是中搜流氓软件,参考http://forum.ikaka.com/topic.asp?board=28&artid=8049319处理。

另外还有:
用HijackThis修复:
O4 - HKLM\..\Run: [kc32update] rundll32 C:\WINDOWS\system32\kc32update.dll,AppMain
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

重启后删除C:\WINDOWS\system32\kc32update.dll
安全模式下清空C:\DOCUME~1\jgeiqpl\LOCALS~1\Temp\文件夹

如果还有什么问题,建议新发一个主题帖说明。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-30 16:46 | 显示全部 短消息 资料
字号: 9楼

【回复“fangwei1984”的帖子】
建议放一个新主题帖,说清楚病毒文件名称与具体路径。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-06-02 14:25 | 显示全部 短消息 资料
字号: 10楼

【回复“战地狂龙”的帖子】
你中的这个非常麻烦。建议新发一主题帖,把HijackThis日志发上来。此病毒疯狂修改注册表,病毒关联文件也多,是十分变态的木马。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT