本帖最后由 CuteK 于 2009-8-4 13:20 编辑
这个是个木马下载者,并且有驱动bho操作在
dll中还有淘宝的连接
http://www.mall.taobao.com/go/ac ... p;cm_id=&pm_id=
分析其中的一个连接地址的内容为 如下
[login] ip=3683890837 ar=HL idx=http://343.boolans.com/list/2009-08-04/HL.y q=http://343.boolans.com/list/2009-08-04/ut_HL.y b=http://343.boolans.com/list/bl.y up=http://219.148.34.10/dmupdate/sss.exe arg=/S
有操作端口控制行为
winio.sys
并有下载者的代码在其中下载play.dll 和p1.dll
通过下载回来升级的版本 目前已经可以分析其顽固行为,清除方法编写中
升级防线
或手杀
ATool
1 终止进程
C:\WINDOWS\system32\4t35.exe
explorer.exe 因为有1个dll是bho所以要终止explorer.exe
2 ATool 文件管理中删除文件
C:\WINDOWS\system32\93i4.dll
C:\WINDOWS\system32\38j0.dll
C:\WINDOWS\system32\4t35.exe
3 后注册表搜索38j0.dll和93i4.dll
类似下面这个删除
HKEY_CLASSES_ROOT\CLSID\{4E2E03DE-824F-403f-88D4-378E26ACE81C}\InprocServer32 |
发表于 2009-8-3 21:13
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2009-8-4 09:21
