一位網友的電腦疑似是中了Viking、灰鴿子等

endurer 原創

2007-03-22 第1版 

今天收到一位網友的email，沒說明電腦出現了什麼問題，只有 HijackThis 的日誌。

在日誌中發現如下可疑項：

HijackThis_zww漢化版掃描日誌 V1.99.1
儲存於      21:09:06, 日期 2007-3-21
作業系統：  Windows XP SP2 (WinNT 5.01.2600)
瀏覽器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - 啟動項HKLM//Run: [winform] E:/WINDOWS/winform.exe
O4 - 啟動項HKLM//Run: [cmdbcs] E:/WINDOWS/cmdbcs.exe

O4 - 啟動項HKLM//Run: [wsttrs] E:/WINDOWS/wsttrs.exe

O4 - 啟動項HKCU//Run: [System Boot Check] C:/windows/baba.exe
O4 - 啟動項HKCU//Run: [set] E:/WINDOWS/servicea.exe
O4 - 啟動項HKCU//Run: [6] E:/WINDOWS/iexpl0ra.exe
O4 - 啟動項HKCU//Run: [c] E:/WINDOWS/c0nima.exe
O4 - 啟動項HKCU//Run: [gf73z81wd] E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
O4 - 啟動項HKCU//Run: [2zgemexrk] E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe

O23 - NT 服務: internet - Unknown owner - E:/WINDOWS/nntv.exe

O23 - NT 服務: Workstation  - Unknown owner - E:/WINDOWS/services.exe

 

看到O4組的啟動項，有一些和前天中了Worm.Viking.pk的網友的電腦中發現的相似。見：

昨天才提醒，今天就有網友點QQ資訊中的網址，中Worm.Viking.pk了
http://endurer.bokee.com/6174316.html
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx
http://blog.i0778.com/?1314/action_viewspace_itemid_2810.html

修複建議：

(下列修複操作可參考【系統修複系列之】基本操作索引 　
http://endurer.blogchina.com/2591241.html）

重啟電腦到安全模式

停止並禁用服務：
internet
Workstation

用WinRAR找到檔案：

E:/WINDOWS/winform.exe
E:/WINDOWS/cmdbcs.exe
E:/WINDOWS/wsttrs.exe
C:/windows/baba.exe
E:/WINDOWS/servicea.exe
E:/WINDOWS/iexpl0ra.exe
E:/WINDOWS/c0nima.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/servicer.exe
E:/DOCUME~1/meng/LOCALS~1/Temp/c0nime.exe
E:/WINDOWS/nntv.exe
E:/WINDOWS/services.exe

打包備份後刪除。

用HijackThis修複上列可疑項

清空IE臨時檔案夾

清空 c:/windows/prefetch

重啟電腦，把 E:/WINDOWS/services.exe 等檔案的壓縮包作為email附件發到endurer@163.com。