今天接到线报该网址挂有木马,登陆后发现此网站正在建设中,其实已经向本地的IE临时目录中下载了三个木马程序。
http://aaa.369678.cn/wm/wm3.htm
这个病毒属于ARP木马,病毒主体IG.EXE
大小: 40241 字节
MD5: 476FC5F9A38150DBCB7C5BC15B565BD0
SHA1: A1444AB8E26805E8CD645442254E98F9DC8823EB
CRC32: FF1A917B
此病毒会注入到IE中并且开机会自动运行。
中毒现象:局域网速度奇慢,无法打开网页,或者打开任何网站均跳转到挂马网址。
清除方法(我没试过,不过没什么危险!)
1.首先打开任务管理器,结束掉IG.EXE;myfpri.EXE;dhdpri.EXE的进程结束掉.显示所有文件,找到下列文件后删掉。
.WindowsSystem32myfpri.dll
.WindowsSystem32dhdpri.dll
.WindowsIG.exe
.programfilesinternet explorerPLUGINSwinsys64.sys
.Documents and setting\%USERPROFILE%local settings emp清空。
.Documents and setting\%USERPROFILE%local settingsTemporary internet filesContent.IE5清空.
2.通过手工查找将以下键值中的Tomons.exe和IG.EXE删掉。
{
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun]
}
或者搜索注册表项
防范方法:{打好所有系统补丁(好像是废话),打开杀软的网络监控,不要登陆乱七八糟的***网,最好邦定MAC}
