有關369.com的小分析和清除
近日見到有不少的會員,都被369.com綁架了首頁,問題應該就是出自這幾個文件
%SystemRoot%\system32\Serveremail.exe
%SystemRoot%\system32\msxml4r.exe
%SystemRoot%\system32\wServer.exe
%SystemRoot%\System32\exp1orer.exe
Preliminary analysis
==================
Serveremail.exe 是一個Trojan Downloader
下載
http://www.jfg[REMOVED].net/info/softverfile.txt
http://[REMOVED].1mms.net/16.exe
Serveremail.exe會讀取softverfile.txt中的網址,下載另一些文件
16.exe是一個NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘書)
wServer.exe會下載安裝YAHOO助手
b16.exe(msxml4r.exe),StartPage Trojan,會修改你的首頁
101228.exe,不明LJ軟件
198897.exe,很棒小秘書的釋放安裝程式
Removal Instructions
==================
1. 1. 下載 HijackThis 1.99.1,存到桌面後再解壓
2. 執行 hijackthis.exe ,按 Do a system scan and save a logfile
3. 在O4項,找出並選取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD的專案,按 Fix checked 修復
例子:
O4 - HKLM\..\Run: [LoadEWXD] C:\Windows\system32\msxml4r.exe
O4 - HKLM\..\Run: [LoadEWXD] C:\WINDOWS\System32\exp1orer.exe
4. 根據在HijackThis看到的文件位置,刪除相關文件
例子:
C:\Windows\system32\msxml4r.exe
5. 下載惡意軟件清理助手
http://www.tommsoft.com/Products.aspx?pid=2
6. 重新啟動電腦,按F8進入安全模式,使用惡意軟件清理助手,掃瞄 + 清除被裝上的LJ軟件
7. 再次重新啟動電腦,回到正常模式,修改你的首頁,看看你的首頁會不會再被改了~
Write-up by: Krazaf (tkabc)
Date: 21/5/2006
Update log:
-27/5 Add some new items that may be also related to 369.com