病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« XP的工厂模式(Factory Mode)设置子网阻止无线蹭网 »

清除hmhqe.cc3、360deew333.dll木马

  该木马后台启动IE连接某远程IP端口19820,此外还有映像劫持(IFEO),不过劫持的对象不是杀毒软件与安全工具,而是系统文件,如cacls.exe、cscript.exe、ftp.exe、reg.exe、sethc.exe,劫持使用的也是系统文件,如ctfmon.exe与taskmgr.exe,不知道它们有没有被感染或被替换,不过似乎是没有。经过两次清理方解决清除。

  第一次清除方案:

1.删除以下文件(怎样根据SREng日志的分析报告清除病毒):

c:\program files\stormii\%sessionname%\hmhqe.cc3

2使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
删除其中的映像劫持(IFEO)项(SREng会把IFEO项用红色标出来,直接删除它们即可)

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Messenger / Messenger]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Program Files\StormII\%SESSIONNAME%\hmhqe.cc3>(StormII可能假冒暴风影音安装文件夹)

  第一次清除完后,又出现新情况,继续清除:

1.删除以下文件:

c:\program files\keooszcio\srvany.exe(srvany.exe可能不是病毒文件,但它是用于建立服务用的工具,可能是被木马利用,而且所在的文件夹keooszcio很可疑,建议清除)
c:\program files\360deew333.dll

2使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
同样清除残余的IFEO项

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Keooszcio / Keooszcio]    <C:\Program Files\Keooszcio\srvany.exe>
[360ersee / 360loversafe]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\360deew333.dll>

两次清理后,不再有IE连接远程端口。另外可以更改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的权限,拒绝写入,以防止病毒木马篡改。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/770.html

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号