0
点赞
收藏
分享

微信扫一扫

鼠标有时乱跑?毒霸、卡巴冲突还是BackDoor.PcClient引起?

萧萧雨潇潇 2022-12-07 阅读 12
windowscservicebrowserobjectWindows系统/运维


鼠标有时乱跑?毒霸、卡巴冲突还是BackDoor.PcClient引起?

endurer 原创
2007-07-16 第1

昨晚一位网友说他的电脑的鼠标有时会乱跑,让偶QQ远程协助。

有点怀疑网友的电脑中了后门。

下载 pe_xscan 扫描 log 分析,发现:
/---
pe_xscan 07-06-23 by Purple Endurer
2007-7-15 21:28:25
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:/Program Files/TENCENT/SSPlus/SAddr.dll

O4 - HKLM/../run: [stup.exe] Rundll32.exe C:/PROGRA~1/TENCENT/SSPlus/SPlus.dll,Rundll32 R

O11 - IE扩展选项组:TBH (中文搜搜) =

O23 - 服务: KWatch3 (KWatch3) - C:/WINDOWS/system32/drivers/KWatch3.SYS | 2006-1-22 7:1:40 | Kingsoft Antivirus | 2005, 11, 17, 18 | Kingsoft Antivirus KWatch Driver | Copyright (C) 2000 - 2004 Kingsoft Corporation | 2005, 11, 17, 18 | Kingsoft Corporation| ? | KWatch3 | KWatch3.SYS(系统)

O23 - 服务: Services Management (Services Management) - C:/WINDOWS/system32/serivces.exe(自动)

O25 - InsCom: {18540CD7-F702-7B77-2220-D75F7C5EBD68} = C:/pagefile.pif
---/

扫描过程中出错,还要log保存下来了。

网友的电脑原来装有金山毒霸,后来卸载,换装了卡巴斯基6,但毒霸卸载不完整,还留了一个O23 - 服务,也许与卡巴有冲突。

卸载中文搜搜,提示找不到文件SAddr.dll,检查卡巴的记录,发现是被卡巴当广告程序杀了。另外发现:
/---
2007-6-13 10:20:41 运行进程 C:/WINDOWS/system32/serivces.exe: 检测到新变种风险软件 'Hidden object'.
2007-6-13 10:20:42  更新成功完成
2007-6-13 10:21:56 文件 c:/windows/system32/serivces.exe//NPack: 检测到 木马程序 'Backdoor.Win32.Agent.amb'.
---/
serivces.exe 已被卡巴杀掉了,没有隔离。Google搜索了一下,这是QQ杀手木马病毒变种e。

而 C:/pagefile.pif也已不存在,从卡巴的记录看是U盘传染进来的。

到 ​​http://endurer.ys168.com​​ 下载 HijackThis 修复 O23之前的项目。O23 和 O25 用注册表编辑器来从注册表中删除。

到 ​​http://purpleendurer.ys168.com​​ 下载 bat_do 把 毒霸残留的 KWatch3.SYS 删除了。

下载 Dr.Web CureIt! 扫描没发现,选择c:/windows 和 C:/Program Files 进行扫描,结果发现 BackDoor.PcClient,用 bat_do 打包备份后删除。
=============================================================================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
Copyright (c) Igor Daniloff, 1992-2006
Log generated on: 2007-07-15, 21:49:52 [A1][Administrator]
Command-line: "C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/RarSFX0/cureit.exe" /lng /ini:cureit_XP.ini
Operating system:Windows XP Professional x86 (Build 2600), Service Pack 2
=============================================================================
Engine version: 4.33 (4.33.5.10110)
Engine API version: 2.01

C:/Program Files/Internet Explorer/Connection Wizard/zgeinggu.dll infected with BackDoor.PcClient - deleted
C:/Program Files/Internet Explorer/Connection Wizard/zgeinggu.sys infected with BackDoor.PcClient - deleted

用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。

下载安装卡卡上网安全助手,又扫出两个流氓软件,清除了。

举报
0 条评论