|
|
最新木马发布公告。。。第一次看到卡巴的无能。。本人的无奈.....发完帖准备卸载卡巴
这毒太牛了刚开始一开机子卡巴还能检测出来但是清除不了..再重起的时候卡巴检测的时候是未发现木马程序Trojan.Win32.Agent.pow安全模式下查杀根本找不到...我去百度看了下原来这东西能劫持杀毒软件和浏览器..劫持浏览器还没什么..在文件夹的时候输入网址照样能进...但是用浏览器就很卡。。输入的时候2秒才出1字母~好多望站好几分钟都打不开...我准备去装个RX试试
到时候上捷报...
Trojan.Win32.Agent.pow和Adware.Win32.CPush.e都是瑞星报的病毒名,Trojan.Win32.Agent.pow这个样本目前卡巴还不能检测出来,令人气愤地是这个东西运行时要映像劫持我的explorer.exe,卡巴居然还在沉默。估计这是个国产的木马,在这一点上卡巴输给瑞星了。
拿到的样本这两个是打在一个安装包里。Trojan.Win32.Agent.pow释放如下文件:
C:\WINDOWS\system32\netdde32.exe
C:\WINDOWS\netdde32.exe
C:\Windows\KB908023.log (假装成微软补丁日志的可执行模块)
将这三个文件都插入到exeplore.exe,然后映像劫持exeplore.exe,使之指向C:\WINDOWS\Sysem32\netdde32.exe。
Adware.Win32.CPush.e释放文件:
C:\Program Files\Common Files\CPUSH\cpush.dll
将这个文件注册为ActiveX对象,并生成浏览器加载项[CAdLogic Object]。
已经注入了explorer.exe的Trojan.Win32.Agent.pow将cpush.dll也注入到explorer.exe中。在注册表中直接手工删除或修改exeplorer.exe的映像劫持项(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe)时,会马上被改回去。
如果已经联网,Trojan.Win32.Agent.pow还会去下载一堆木马和流氓软件下来,其中包括一个假的QQ浏览器加载项:
[腾讯QQ]
{54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll, N/A>
清除办法:
由于这两个东西没有驱动和服务项保护,用最新的瑞星就基本能干掉了,测试中看到了瑞星修复了explorer.exe的映像劫持。Trojan.Win32.Agent.pow释放的三个文件提示要重启删除,因为它们已经注入到了explorer.exe进程中。如果由于某种原因explorer.exe的劫持没有修复过来,下次启动时就看不到桌面了,从任务管理器中运行也会出错。需要参考下面的手工方法。
手工解决办法很简单——
1、在任务管理器重结束explorer.exe
2、在任务管理器中点“文件/新建任务”,运行regedit.exe,删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe项
3、在任务管理器中点“文件/新建任务”,点“浏览”,然后在打开文件对话框找到上述它们释放的文件,直接删除。然后找到c:\windows\explorer.exe,点打开。
4、运行360安全卫士(或瑞星卡卡,或SREng),清除浏览器加载项[CAdLogic Object]和[腾讯QQ] {54EBD53A-9BC1-480B-966A-843A333CA162} <C:\WINDOWS\QQIEHelper.dll,
[ 本帖最后由 qaz5629462 于 2008-7-30 10:46 编辑 ] |
评分
-
查看全部评分
|
发表于 2008-7-30 10:40:21
收藏
淘帖
支持
反对
赞(
提升卡
变色卡
楼主
