endurer 原创
2007-03-22 第1版
今天收到一位网友的email,没说明电脑出现了什么问题,只有 HijackThis 的日志。
在日志中发现如下可疑项:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 21:09:06, 日期 2007-3-21
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - 启动项HKLM//Run: [winform] E:/WINDOWS/winform.exe
O4 - 启动项HKLM//Run: [cmdbcs] E:/WINDOWS/cmdbcs.exe
O4 - 启动项HKLM//Run: [wsttrs] E:/WINDOWS/wsttrs.exe
O4 - 启动项HKCU//Run: [System Boot Check] C:/windows/baba.exe
O4 - 启动项HKCU//Run: [set] E:/WINDOWS/servicea.exe
O4 - 启动项HKCU//Run: [6] E:/WINDOWS/iexpl0ra.exe
O4 - 启动项HKCU//Run: [c] E:/WINDOWS/c0nima.exe
O4 - 启动项HKCU//Run: [gf73z81wd] E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
O4 - 启动项HKCU//Run: [2zgemexrk] E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe
O23 - NT 服务: internet - Unknown owner - E:/WINDOWS/nntv.exe
O23 - NT 服务: Workstation - Unknown owner - E:/WINDOWS/services.exe
看到O4组的启动项,有一些和前天中了Worm.Viking.pk的网友的电脑中发现的相似。见:
昨天才提醒,今天就有网友点QQ信息中的网址,中Worm.Viking.pk了
http://endurer.bokee.com/6174316.htmljavascript:void(0)
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html
修复建议:
(下列修复操作可参考【系统修复系列之】基本操作索引
http://endurer.blogchina.com/2591241.html)
重启电脑到安全模式
停止并禁用服务:
internet
Workstation
用WinRAR找到文件:
E:/WINDOWS/winform.exe
E:/WINDOWS/cmdbcs.exe
E:/WINDOWS/wsttrs.exe
C:/windows/baba.exe
E:/WINDOWS/servicea.exe
E:/WINDOWS/iexpl0ra.exe
E:/WINDOWS/c0nima.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe
E:/WINDOWS/nntv.exe
E:/WINDOWS/services.exe
打包备份后删除。
用HijackThis修复上列可疑项
清空IE临时文件夹
清空 c:/windows/prefetch
重启电脑,把 E:/WINDOWS/services.exe 等文件的压缩包作为email附件发到endurer@163.com。
