博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
遭遇木马Trojan-PWS.Win32.Agent.BU
阅读量:5811 次
发布时间:2019-06-18

本文共 2213 字,大约阅读时间需要 7 分钟。

     那天,有个同事拿个U盘过来跟我说打不开,能不能帮她看看,自恃电脑里有Autorun病毒防御者一直开着用来查杀U盘木马,没出过差错,就把她的U盘插入静候它的佳音,一会儿它跳出: 
发现病毒注册表项:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\OnDesktop,值:rundll32.exe "browseiu.dll",explorer(Trojan-PWS.Win32.Agent.BU),处理结果:清除成功 
发现病毒文件:I:\.vbs(Virus.VBS.AutoRun.ai),处理结果:清除成功 
发现病毒残留目录:I:\RECYCLER,处理结果:清除成功 
对后面两个“发现”是司空见惯的,第一个“发现”倒是第一次看到,有些疑惑,不过看到已经清除成功,也没多大在意,看看U盘打得开了就再免疫了一下还给她,打发走人,顺便把自己的电脑也查一下,呵~一查问题就来了,只见它跳出: 
发现病毒注册表项:\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\OnDesktop,值:rundll32.exe "browseiu.dll",explorer(Trojan-PWS.Win32.Agent.BU),处理结果:清除成功 
发现病毒篡改注册表项:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,值:c:\windows\system32\userinit.exe,rundll32.exe browseiu.dll explorer,处理结果:修复成功 
还没等我在一惊中回过神来,电脑已经快速关掉我桌面上所有正在操作的东西然后关机又重启了,进入桌面打开病毒防御者先用扫描功能看了一下,晕~还在哇(呵~看来好事做不得,一做麻烦惹上身)!我要直接查杀这木马的话电脑肯定还会重启,那还是让我重启直接进入安全模式去杀它,开始——关机——重新启动,按着F8不放,选择安全模式,然后在一片黑暗中等待着……快要看到黎明了,咦~怎么又重启了啦,好哇~小样,还不让我进安全模式杀你,够牛的,等着,赶紧在网上搜索下“Trojan-PWS.Win32.Agent.BU”跟“browseiu.dll”,查了很久,网上没有详细的资料,看来必须自己手动清除了。 
    先在电脑上查到“browseiu.dll”是放在c:\windows\system32下打开c:\windows\system32把browseiu.dll删除(system32里面有browseui.dll程序,千万不能删错,否则……呵呵~麻烦更大啦!),然后运行regedit,打开注册表,进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run里的文件OnDesktop删除,或者打开360安全卫士——高级——启动项状态里删除OnDesktop,HKLM_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon里打开Userinit,把数值数据c:\windows\system32\userinit.exe,后面的“rundll32.exe,rundll32.exe browseiu.dll explorer”删除,Oh My god!电脑又重启了,手动也不行?嗯,让我再仔细想想,这木马不让我手动删除,又不让我进安全模式,对了在安全模式下肯定能删除它,关键是怎么进入安全模式,打开事件查看器,有如下描述: 
事件类型: 错误 
事件来源: DCOM 
事件种类: 无 
事件 ID: 10005 
日期:  2009-6-10 
事件:  15:58:41 
用户:  NT AUTHORITY\SYSTEM 
计算机: XXXXXXXXXXXXX
描述: 
DCOM 遇到错误“不能以安全模式开始这项服务 ”,试图以参数“”启动服务 EventSystem 以运行服务器: 
{1BE1F766-5536-11D1-B726-00C04FB926AF}
     根据网上的有关资料解决这个问题:打开程序——控制面板——管理工具——组件服务——计算机——我的电脑——DOCM配置,找到{1BE1F766-5536-11D1-B726-00C04FB926AF},右点其属性选“安全”选项卡,在“启动与激活权限”栏目中点选“自定义”单选按钮。接着点击“编辑”按钮,在弹出的“启动权限”对话框中,查看下面四个的权限(如果没有这四个就点击“添加”按钮) 
1.Administrators 
2.Everyone 
3.INTERACTIVE 
4.SYSTEM 
发现在Everyone中少个本地启动,补勾上,确定,重启,顺利进入安全模式,运行Autorun病毒防御者进行查杀,查杀完毕没有自动关机, 看来一切顺利,重启打开注册表看了那两个地方,恢复正常,OK!
 
本文转自 彐火王木木 51CTO博客,原文链接:http://blog.51cto.com/linger/181818

转载地址:http://hynbx.baihongyu.com/

你可能感兴趣的文章
XCode4.2iOS各模板简述
查看>>
链路层
查看>>
unity UGUI动态字体显示模糊
查看>>
由火车进站引出的问题
查看>>
poj3169 最短路(差分约束)
查看>>
c#基础——类中私有构造函数作用
查看>>
dart 异步事件执行流程分析(一)
查看>>
图片轮播(bootstrap)与 圆角搜索框(纯css)
查看>>
如何定位EXC_BAD_ACCESS错误 (info malloc-history)
查看>>
Windows文件操作的API函数[转载]
查看>>
WPF 自定义控件,在ViewModel里面获取自定义控件的值
查看>>
自己开发可视化web监控服务器和SQL SERVER
查看>>
VS中,卸载,移除,删除项目的区别
查看>>
python——SMTP发送简单邮件
查看>>
利用CPaintDC::IntersectClipRect将绘图限制在局部区域
查看>>
广度的知识是深度研究的副产品
查看>>
StoreDB入门系列
查看>>
安装gcc及其依赖
查看>>
ubuntu 的 桌面和终端的默认启动方法
查看>>
oracle 入门笔记--v$sql和v$sqlarea视图(转载)
查看>>