霏凡被被入侵-------下载软件中包含盗号木马,已发布清除方法[转]
【注意】10月25日~10月27日在霏凡软件站下载软件的会员注意(更新了)在上星期,本站下载站因为被入侵,部份软件的下载地址被修改了,新的下载地址里的软件里捆绑了木马.
部份被捆绑了木马下载器,下载大量木马,所以在分析上,研究清除方法,测试需时,所以到今天才正式发出清除的方法,实在抱歉.
常见问题
Q: 如何判断自己是否中招?
A:
-你上星期有到下载站下载东西
- 如果有,请作进一步检查
[*]下载 System Repair Engineer 2 ,并保存到桌面 (由于SREng 官方Server出现问题,会员可以下载附件 SREng2.2.zip)[*]解开压缩包,运行SREng.exe[*]按 智能扫瞄 ,确保智能扫瞄下的项目已经全部打勾,再按 扫瞄[*]扫瞄完成后,按 保存报告 ,把报告保存到桌面[*]开启SREngLOG.log报告,如果有以下其中一个关键字,你已经中招了:
[*]wdfmgr32.exe[*]ZhanYouSever.exe[*]Ravdm.exe[*]mswdm.exe[*]system16
Q: 大部份是什么木马?
A: 都是木马下载器和国产盗号木马,所以在清除后强烈建议你修改你QQ,论坛,游戏中的密码
清除方法:
由于其中一只木马用随机文件名,随机生成不同的位置,所以下面的步骤可能多一点
[*]请先退出QQ程序,下载 + 解压 crsky.zip[*]这时桌面上会多了一个 crsky 文件夹,运行Bfu.exe。[*]重新启动电脑,按 F8 进入安全模式[*]点击 文件夹 按钮并在这里选择 crsky 文件夹内的crsky.bfu 。[*]按 Execute 执行清除操作。[*]最后会弹出一个 cmd 窗口,这 batch 会搜索所有怀疑有问题的档案[*]由于要搜索整个系统分区,所以会花 15 - 30 分钟, 请耐心等候, 当搜索完成后,一个记事本会弹出,显示有问题的文件,结果 result.txt 放在crsky文件夹[*]请到QQ自定义安装路径下 (比如C:\Program Files\QQ) 检查是否有 TIMPlatFrom.exe 的存在,确认存在该文件后,请删除木马文件TIMPlatform.exe,然后将TIMPlatfrom.exe改名为TIMPlatform.exe[*]重新启动你的电脑 , 根据 result.txt ,如果文件名称是由 8 个英文字 组成, 请删除列出的文件!
清除后强烈建议你修改你QQ,论坛,游戏中的密码
如在清除上有任何问题,欢迎你到 病毒救援区 发帖
在这之前,已经有很多论坛的主站中招了
霏凡是首先出解决方法的论坛
[ 本帖最后由 永远の魔道 于 2006-10-31 19:23 编辑 ] 好像就是你干的;P
什么时候替偶干二回:lol http://bbs.crsky.com/read.php?tid=875818
请自行到霏凡下载! 现在的垃 圾太多了 还好常去的winzheng木使 貌似好久没去非凡了啊。。。。。。。。。。。 挂马的真系强淫啊............. 这个挂马的牛x了 不会吧
你今天才转过来
....老消息了 5555 好像我的中招了
页:
[1]
2