今天倒霉,当小白测试了被LZ称之为木仓的超NB外挂,小白测试我有价值,是毒是肯定的了,而且是很纯的毒。倒霉到死啊我。
来了个全面大扫描,扫出来长达2页的毒。这个恶心啊。
然后我发现大多数毒都跟这个Trojan.PowerSpider.ac 有关所以上网查了查,一下就是我查到的结果。
推荐给那些跟我一样倒霉的小白。
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
现象:
1、系统进程中有iexplore.exe运行,注意,是小写字母;
2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2、到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,删除其键值。
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【如果提示找不到,请忽略该提示】
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\windhcp.ocx
以下的操作要求在安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
<twin><C:\WINDOWS\system32\ctfnom.exe> [Microsoft Corporation] 最新变种
=================================
服务
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。
iexplore.exe病毒运行原理
一、1。病毒把自身复制到系统目录,命名为“iexplore.exe”
2。添加注册表启动项 :
HKEY_LOCAL_MACHINE Software\\Microsoft\\Windows\\CurrentVersion
\\Run “mssysint”= iexplore.exe
二、系统中的 病毒运行后,释放“psinthk.dll”,通过该动态连接库提供的“AddHook”、“ DelHook”挂接全局消息钩子,截取用户的各种输入。从中取得用户的各种密码。
三、病毒使用内存映射“PwdBox”、“PowerSpider”作为运行标记,防止自己重复运行。
四、下载“http://***web.jieba.net/download/power001.snk”
五、通过“pop3.sina.com.cn”发送信件。
这个病毒对发送的邮件中的信息进行了加密,如果没有密码,不能看到其中的信息。
