遭遇木馬Trojan-PWS.Win32.Agent.BU
那天,有個同事拿個U盤過來跟我說打不開,能不能幫她看看,自恃電腦裡有Autorun病毒防禦者一直開著用來查殺U盤木馬,沒出過差錯,就把她的U盤插入靜候它的佳音,一會兒它跳出:
發現病毒登錄檔項:SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunOnDesktop,值:rundll32.exe “browseiu.dll”,explorer(Trojan-PWS.Win32.Agent.BU),處理結果:清除成功
發現病毒檔案:I:.vbs(Virus.VBS.AutoRun.ai),處理結果:清除成功
發現病毒殘留目錄:I:RECYCLER,處理結果:清除成功
對後面兩個“發現”是司空見慣的,第一個“發現”倒是第一次看到,有些疑惑,不過看到已經清除成功,也沒多大在意,看看U盤打得開了就再免疫了一下還給她,打發走人,順便把自己的電腦也查一下,呵~一查問題就來了,只見它跳出:
發現病毒登錄檔項:SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunOnDesktop,值:rundll32.exe “browseiu.dll”,explorer(Trojan-PWS.Win32.Agent.BU),處理結果:清除成功
發現病毒篡改登錄檔項:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,值:c:windowssystem32userinit.exe,rundll32.exe browseiu.dll explorer,處理結果:修復成功
還沒等我在一驚中回過神來,電腦已經快速關掉我桌面上所有正在操作的東西然後關機又重啟了,進入桌面開啟病毒防禦者先用掃描功能看了一下,暈~還在哇(呵~看來好事做不得,一做麻煩惹上身)!我要直接查殺這木馬的話電腦肯定還會重啟,那還是讓我重啟直接進入安全模式去殺它,開始——關機——重新啟動,按著F8不放,選擇安全模式,然後在一片黑暗中等待著……快要看到黎明瞭,咦~怎麼又重啟了啦,好哇~小樣,還不讓我進安全模式殺你,夠牛的,等著,趕緊在網上搜尋下“Trojan-PWS.Win32.Agent.BU”跟“browseiu.dll”,查了很久,網上沒有詳細的資料,看來必須自己手動清除了。
先在電腦上查到“browseiu.dll”是放在c:windowssystem32下開啟c:windowssystem32把browseiu.dll刪除(system32裡面有browseui.dll程式,千萬不能刪錯,否則……呵呵~麻煩更大啦!),然後執行regedit,開啟登錄檔,進入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun裡的檔案OnDesktop刪除,或者開啟360安全衛士——高階——啟動項狀態裡刪除OnDesktop,HKLM_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon裡開啟Userinit,把數值資料c:windowssystem32userinit.exe,後面的“rundll32.exe,rundll32.exe browseiu.dll explorer”刪除,Oh My god!電腦又重啟了,手動也不行?嗯,讓我再仔細想想,這木馬不讓我手動刪除,又不讓我進安全模式,對了在安全模式下肯定能刪除它,關鍵是怎麼進入安全模式,開啟事件檢視器,有如下描述:
事件型別: 錯誤
事件來源: DCOM
事件種類: 無
事件 ID: 10005
日期: 2009-6-10
事件: 15:58:41
使用者: NT AUTHORITYSYSTEM
計算機: XXXXXXXXXXXXX
描述:
DCOM 遇到錯誤“不能以安全模式開始這項服務 ”,試圖以引數“”啟動服務 EventSystem 以執行伺服器:
{1BE1F766-5536-11D1-B726-00C04FB926AF}
發現病毒登錄檔項:SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunOnDesktop,值:rundll32.exe “browseiu.dll”,explorer(Trojan-PWS.Win32.Agent.BU),處理結果:清除成功
發現病毒檔案:I:.vbs(Virus.VBS.AutoRun.ai),處理結果:清除成功
發現病毒殘留目錄:I:RECYCLER,處理結果:清除成功
對後面兩個“發現”是司空見慣的,第一個“發現”倒是第一次看到,有些疑惑,不過看到已經清除成功,也沒多大在意,看看U盤打得開了就再免疫了一下還給她,打發走人,順便把自己的電腦也查一下,呵~一查問題就來了,只見它跳出:
發現病毒登錄檔項:SOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRunOnDesktop,值:rundll32.exe “browseiu.dll”,explorer(Trojan-PWS.Win32.Agent.BU),處理結果:清除成功
發現病毒篡改登錄檔項:HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit,值:c:windowssystem32userinit.exe,rundll32.exe browseiu.dll explorer,處理結果:修復成功
還沒等我在一驚中回過神來,電腦已經快速關掉我桌面上所有正在操作的東西然後關機又重啟了,進入桌面開啟病毒防禦者先用掃描功能看了一下,暈~還在哇(呵~看來好事做不得,一做麻煩惹上身)!我要直接查殺這木馬的話電腦肯定還會重啟,那還是讓我重啟直接進入安全模式去殺它,開始——關機——重新啟動,按著F8不放,選擇安全模式,然後在一片黑暗中等待著……快要看到黎明瞭,咦~怎麼又重啟了啦,好哇~小樣,還不讓我進安全模式殺你,夠牛的,等著,趕緊在網上搜尋下“Trojan-PWS.Win32.Agent.BU”跟“browseiu.dll”,查了很久,網上沒有詳細的資料,看來必須自己手動清除了。
先在電腦上查到“browseiu.dll”是放在c:windowssystem32下開啟c:windowssystem32把browseiu.dll刪除(system32裡面有browseui.dll程式,千萬不能刪錯,否則……呵呵~麻煩更大啦!),然後執行regedit,開啟登錄檔,進入HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun裡的檔案OnDesktop刪除,或者開啟360安全衛士——高階——啟動項狀態裡刪除OnDesktop,HKLM_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon裡開啟Userinit,把數值資料c:windowssystem32userinit.exe,後面的“rundll32.exe,rundll32.exe browseiu.dll explorer”刪除,Oh My god!電腦又重啟了,手動也不行?嗯,讓我再仔細想想,這木馬不讓我手動刪除,又不讓我進安全模式,對了在安全模式下肯定能刪除它,關鍵是怎麼進入安全模式,開啟事件檢視器,有如下描述:
事件型別: 錯誤
事件來源: DCOM
事件種類: 無
事件 ID: 10005
日期: 2009-6-10
事件: 15:58:41
使用者: NT AUTHORITYSYSTEM
計算機: XXXXXXXXXXXXX
描述:
DCOM 遇到錯誤“不能以安全模式開始這項服務 ”,試圖以引數“”啟動服務 EventSystem 以執行伺服器:
{1BE1F766-5536-11D1-B726-00C04FB926AF}
根據網上的有關資料解決這個問題:開啟程式——控制皮膚——管理工具——元件服務——計算機——我的電腦——DOCM配置,找到{1BE1F766-5536-11D1-B726-00C04FB926AF},右點其屬性選“安全”選項卡,在“啟動與啟用許可權”欄目中點選“自定義”單選按鈕。接著點選“編輯”按鈕,在彈出的“啟動許可權”對話方塊中,檢視下面四個的許可權(如果沒有這四個就點選“新增”按鈕)
1.Administrators
2.Everyone
3.INTERACTIVE
4.SYSTEM
發現在Everyone中少個本地啟動,補勾上,確定,重啟,順利進入安全模式,執行Autorun病毒防禦者進行查殺,查殺完畢沒有自動關機, 看來一切順利,重啟開啟登錄檔看了那兩個地方,恢復正常,OK!
1.Administrators
2.Everyone
3.INTERACTIVE
4.SYSTEM
發現在Everyone中少個本地啟動,補勾上,確定,重啟,順利進入安全模式,執行Autorun病毒防禦者進行查殺,查殺完畢沒有自動關機, 看來一切順利,重啟開啟登錄檔看了那兩個地方,恢復正常,OK!
本文轉自 彐火王木木 51CTO部落格,原文連結:http://blog.51cto.com/linger/181818
相關文章
- 遭遇 木馬 srpcss.dllRPCCSS
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 木牛流馬
- 硬體木馬(一)
- 快速定位挖礦木馬 !
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 盜號木馬分析報告
- iexpress全力打造“免檢”木馬Express
- 木馬問題解決方案
- 貝殼木馬專殺工具怎麼用 貝殼木馬專殺工具使用教程
- 微信小程式swiper旋轉木馬微信小程式
- [病毒木馬] 檔案自刪除
- 記錄一次木馬排查
- 利用DNS隧道通訊木馬分析DNS
- linux下查詢php木馬LinuxPHP
- 巧設密碼氣死木馬密碼
- WindowsApache下防PHP木馬設定WindowsApachePHP
- 區別木馬與病毒,以及識別與防治木馬的方法
- Redis漏洞攻擊植入木馬逆向分析Redis
- 黑暗幽靈(DCM)木馬詳細分析
- Python編寫簡易木馬程式Python
- 程式猿生存指南-52 旋轉木馬
- 萌新之php一句話木馬PHP
- CrossRAT 木馬通殺 Windows、MacOS、LinuxROSWindowsMacLinux
- 分離帶木馬檔案的方法
- 用工作管理員揪出暗藏的木馬
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- 竊取加密貨幣的新型木馬:InnfiRAT加密
- 怎麼清理webshell木馬後門檔案Webshell
- 謹防垃圾郵件,小心感染Emotet木馬
- 伺服器SSH後門木馬查殺伺服器
- 教你如何找到執行緒插入式木馬執行緒
- 警惕“仙劍”木馬篡改瀏覽器首頁瀏覽器
- 木馬藏在何處-遠離遠端控制