BoBoTurbo.EXE,100多个svhost.exe2

BoBoTurbo.EXE,100多个svhost.exe2

endurer 原创
2008-04-24 第1版

(续1)

开始修复~
到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。

用 FileInfo 提取log中红色标记的文件信息，用 bat_do 将 log中红色标记的文件 打包备份并延时删除。

到 http://endurer.ys168.com 下载 IceSword备用。

把 c:/windows/system32 和 c:/windows/system32/dllcache 下的 svchost.exe 改名为 svchost0.exe，然后用命令:

del c:/windows/system32/svchost.exe /s /f /q

来删除病毒文件svchost.exe，

再用 dir c:/windows/system32/svchost.exe /s /a 来看看有没有残留的 svchost.exe，有则加入bat_do，延时删除。

打开注册表编辑器，删除病毒的启动项

用WinRAR 删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

重启电脑，用IceSword 检查是否还有病毒文件残留，有则强制删除。

下载安装 AntiVir 8个人免费版

附：部分病毒文件信息

文件说明符 : C:/WINDOWS/system32/17541/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-18 17:42:22
修改时间 : 2008-4-12 22:22:36
访问时间 : 2008-4-18 0:0:0
大小 : 8192 字节 8.0 KB
MD5 : 1931337e32bd7887aa2ada09dc4b3278
SHA1: C1CD19FFE499D69C37D71F715D2680F11E0793B8
CRC32: a8dccf27

文件说明符 : C:/WINDOWS/system32/ACEHY.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-18 0:0:0
大小 : 94208 字节 92.0 KB
MD5 : 337ff41313ca1de463a9e3ed97bbeadc
SHA1: 8A2E4C70615A3546A1BED02BE69F5BD40BFBEBD6
CRC32: d1395d6e

卡巴斯基报为 Trojan.Win32.Agent.isb

C:/WINDOWS/system32/QTVNP.dll
C:/WINDOWS/system32/CEHJB.dll
C:/WINDOWS/system32/BDGXA.dll
C:/WINDOWS/system32/DFIZC.dll
C:/WINDOWS/system32/ZBEVY.dll
C:/WINDOWS/system32/YACUW.dll
C:/WINDOWS/system32/WYBSV.dll
C:/WINDOWS/system32/vypnd.dll
C:/WINDOWS/system32/UXZCT.dll
C:/WINDOWS/system32/TWYBS.dll
C:/WINDOWS/system32/SVXPR.dll
C:/WINDOWS/system32/ORTLN.dll
C:/WINDOWS/system32/NQSKM.dll
C:/WINDOWS/system32/NPRUL.dll
C:/WINDOWS/system32/ngvod.dll
C:/WINDOWS/system32/MPRUL.dll
C:/WINDOWS/system32/MPRJL.dll
C:/WINDOWS/system32/LOQIK.dll
C:/WINDOWS/system32/KNPRJ.dll
C:/WINDOWS/system32/knpfn.dll
C:/WINDOWS/system32/JLOQI.dll
C:/WINDOWS/system32/IKMEG.dll
C:/WINDOWS/system32/HKMEG.dll
C:/WINDOWS/system32/FHKME.dll 与 C:/WINDOWS/system32/ACEHY.dll 相同

文件说明符 : C:/WINDOWS/system32/ybdtb.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Advanced Windows 32 Base API
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : advapi32.dll
源文件名 : advapi32.dll
创建时间 : 2008-1-9 16:59:13
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-18 0:0:0
大小 : 674304 字节 658.512 KB
MD5 : 7a6ba833851cf17f32fab3bfba62da75
SHA1: 769518238168F0D8A439678E59C8A4D865E0068A
CRC32: 3a2ed038

C:/WINDOWS/system32/fvjbv.dll 与 C:/WINDOWS/system32/ybdtb.dll 相同

文件说明符 : C:/WINDOWS/system32/gjlbj.vya
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2008-1-9 16:59:13
修改时间 : 2008-1-9 16:59:14
访问时间 : 2008-4-18 0:0:0
大小 : 47426 字节 46.322 KB
MD5 : 8c28be8bc12693b4a97b7b0a2e8f50bb
SHA1: 80E5BB598DFF1F8594530604D511F5892AF10FAC
CRC32: a6acd904

文件说明符 : C:/WINDOWS/system32/vkdsl.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.3119 (xpsp_sp2_gdr.070416-1301)
说明 : Windows NT BASE API Client DLL
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.3119
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : kernel32
源文件名 : kernel32
创建时间 : 2007-12-6 20:27:5
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-18 0:0:0
大小 : 1145344 字节 1.94 MB
MD5 : ec8a0d03d78ffa7fee94a6f2d8719c49
SHA1: 46E5861696952D70F1898C61E10A7AEEAB4C80B9
CRC32: 1cc8fa13

C:/WINDOWS/system32/hkbzp.dll
C:/WINDOWS/system32/fhhlr.dll 与 C:/WINDOWS/system32/vkdsl.dll 相同

文件说明符 : C:/WINDOWS/system32/fdzzb.fqz
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2007-6-19 21:32:10
访问时间 : 2008-4-18 0:0:0
大小 : 50518 字节 49.342 KB
MD5 : 3b7dae8b51a96abd52afff8d91060de6
SHA1: 1C9982A18080BEC62C5BDEFF6859A848F5B76218
CRC32: 5ba0d434