wkebsr.exe(QQ迷你首页挂的马``)
2007-11-14 11:07:58
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/50453 |
据说这个病毒是QQ迷你首页(minisite.qq.com/all/allinone.shtml )上挂的木马
我想是DNS劫持,因为我这里(福建泉州电信)和其他几位好友访问该网站并没有问题。
谁能提供QQ迷你首页被挂马的源代码?能提供的请把文件发到Lyhan_1988@163.com
另外建议有出现访问QQ迷你首页提示木马的,暂时先把minisite.qq.com屏蔽了。
文件名称:wkebsr.exe
文件大小:23677 bytes
AV命名:Trojan-Downloader.Win32.Small.gop (卡吧斯基)Trojan.Win32.Delf.yjk (瑞星)
加壳方式:FSG 2.0
编写语言:Borland Delphi 6.0-7.0
文件MD5:99f0966662bfd2910d2c762e8b70fac3
行为:
1、释放病毒副本:
C:\Documents and Settings\当前的用户名\Local Settings\Temp\wkebsr.exe 23677 字节
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wkebak.exe 23677 字节(开机自启)
%Systemroot%\system32\drivers\knlps.exe 8192 字节
2、添加注册表,开机启动:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(注册表值)avpdow 指向: C:\DOCUME~1\当前的用户名\LOCALS~1\Temp\wkebsr.exe 3、查找进程,尝试关闭:
KVwsc.exe
KVMonXP.EXE Kvsrvxp.EXE kwatch.EXE kavstart.EXE KPfw32.exe kavpfw.exe runiep.exe 360tray.exe 4、其中病毒释放的knlps.exe,可能释放驱动knlps.sys,强制关闭:
avp.exe
360tray.exe 5、查找硬盘,于系统drivers目录释放delme.bat。可能会删除以下文件:
ravmon.exe
ravmond.exe rfwmain.exe PFW.exe KVMonXP.kxp shstat.exe Mcshield.exe Vstskmgr.exe ccapp.exe vptray.exe Navapsvc.exe rtvscan.exe kvfwmcl.exe 不过网址已经失效了,汗``
7、调用net.exe,关闭系统自带的防火墙。
net.exe stop sharedaccess
解决方法:
1、下载SREng:
http://www.kingzoo.com/tools/孤独更可靠/sreng2.5.zip
下载后直接放桌面,断开网络。
2、打开“任务管理器”,如有发现wkebsr.exe、wkebak.exe则关闭其进程。
3、打开SREng,删除病毒的的启动项:
注册表:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<avpdow><C:\DOCUME~1\admin\LOCALS~1\Temp\wkebsr.exe> []
启动文件夹:
[wkebak]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\wkebak.exe 4、重启电脑,清空所有临时文件。
PS:如上述方法无法清除,请发病毒文件至Lyhan_1988@163.com,用Winrar压缩,加密virus
  本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/50453 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接
