昨晚打开百度搜索的一个网页中了病毒,用的是NOD32系统,提示隔离后一连接ADSL,就反复出现30个木马游戏大盗病毒,最关键的是,我的电脑图标变为不可识别,每次重启会自动到一个网站下载1.exe 2.exe 等等
Win32/PSW.OnlineGame.MUG
Win32/PSW.Agent.NGZ
网络监控 文件 Win32/PSW.OnLineGames.MUG 木马 已隔离 - 连接终止
网络监控 文件 Win32/PSW.OnLineGames.MUG 木马的变形版本。
控 文件未查明的 NewHeur_PE 病毒
中文名称:机器狗
加壳方式:Upack V0.37
文件MD5:bcc161e0f87701c0c691ac9073fa4d75
行为分析:
1、 释放文件:
C:\Documents and Settings\孤独更可靠\Local Settings\Temp\tmp10.tmp
C:\WINDOWS\system32\drivers\phy.sys
2、 驱动phy.sys成功加载后,修改系统文件(其中一个):
explorer.exe
ctfmon.exe
conime.exe
把tmp10.tmp写入其中。
3、 连接网络,获得下载列表:h**p://new.749571.com/new.txt。
下载30个盗号木马。
保存至Temp文件夹tmp11.tmp—tmp30.tmp并执行
解决方法:
1、 重启计算机,按F8进入安全模式。
2、 从C:\WINDOWS\system32\dllcache内把explorer.exe、ctfmon.exe、conime.exe拷贝出来并覆盖到相应的位置。
3、 删除硬盘文件:
C:\WINDOWS\system32\drivers\phy.sys
4、 清空所有临时文件夹。
暂时免疫方法:
md %systemroot%\system32\drivers\phy.sys\mianyi...\
cacls %systemroot%\system32\drivers\phy.sys /e /p everyone:n
保存为批处理,当免疫其驱动时,它就无法做其他的工作了
WINDOWS清理助手 全盘扫描完毕杀除了找得到的! 晚上再开几个小时看看还有没有问题!
最后把新的没有毒的explorer.exe放到c:\windows 下
大批量的自动下载已经不再提示了 |
