被6781劫持了?现在就把踢它出去

分类: 笔记 | 标签: | 日期:2006-12-27 | 1 views

前几天下载软件的时候,下了几个那种setup程序,文件不过都几百K,结果自然是中招了.
立刻打开任务管理器狂结束进程,不过还是没有能够完全阻止垃圾入侵.
IE主页成了6781.com
气愤之极,用费尔把IE还原,可是主页还是有点不正常
后来打开IE又出现过一次6781,今天打开IE,baidu主页的地址非常让人生疑.
地址栏显示http://baidu.com/index.php?tn=searchsite_pg
一直找不到进程中一个以rundll32搭载的进程WKKDE.dll的信息,该进程自动打开了1087端口
今天在google搜出来了,看来病毒每次生成dll时的文件名都不相同的.
今天早上7:20开机的,注册表看来刚刚被改过一次:

项名称: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BRGNS
类别名: <无类别>
最近写入时间: 2006/12/27 - AM 07:20
值 0
名称: Type
类型: REG_DWORD
数据: 0x10

值 1
名称: Start
类型: REG_DWORD
数据: 0x2

值 2
名称: ErrorControl
类型: REG_DWORD
数据: 0x1

值 3
名称: ImagePath
类型: REG_EXPAND_SZ
数据: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\WKKDE.DLL,Export 1087

值 4
名称: DisplayName
类型: REG_SZ
数据: Distributed Application Client

值 5
名称: ObjectName
类型: REG_SZ
数据: LocalSystem

值 6
名称: Description
类型: REG_SZ
数据: 应用程序通讯客户端,提供快捷的通讯机制,保护数据的安全。

项名称: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BRGNS\Security
类别名: <无类别>
最近写入时间: 2006/12/25 - PM 07:14
值 0
名称: Security
类型: REG_BINARY
数据:
00000000 01 00 14 80 90 00 00 00 - 9c 00 00 00 14 00 00 00 ................
00000010 30 00 00 00 02 00 1c 00 - 01 00 00 00 02 80 14 00 0...............
00000020 ff 01 0f 00 01 01 00 00 - 00 00 00 01 00 00 00 00 ÿ...............
00000030 02 00 60 00 04 00 00 00 - 00 00 14 00 fd 01 02 00 ..`.........ý...
00000040 01 01 00 00 00 00 00 05 - 12 00 00 00 00 00 18 00 ................
00000050 ff 01 0f 00 01 02 00 00 - 00 00 00 05 20 00 00 00 ÿ........... ...
00000060 20 02 00 00 00 00 14 00 - 8d 01 02 00 01 01 00 00 ...............
00000070 00 00 00 05 0b 00 00 00 - 00 00 18 00 fd 01 02 00 ............ý...
00000080 01 02 00 00 00 00 00 05 - 20 00 00 00 23 02 00 00 ........ ...#...
00000090 01 01 00 00 00 00 00 05 - 12 00 00 00 01 01 00 00 ................
000000a0 00 00 00 05 12 00 00 00 - ........

项名称: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BRGNS\Enum
类别名: <无类别>
最近写入时间: 2006/12/27 - AM 07:20
值 0
名称: 0
类型: REG_SZ
数据: Root\LEGACY_BRGNS\0000

值 1
名称: Count
类型: REG_DWORD
数据: 0x1

值 2
名称: NextInstance
类型: REG_DWORD
数据: 0x1
[/code]
这个垃圾以隐藏的服务形式藏匿,打开services.msc是找不到的,只能用注册表.
服务的描述还来个"保护数据的安全",简直恶心.

我不愿意重启,更不愿意进入安全模式.
因此打开cmd
输入net stop brgns
命令行显示为
C:\Documents and Settings\myhome>net stop brgns
Distributed Application Client 服务正在停止.
Distributed Application Client 服务已成功停止。
删除文件,删除注册表项,万事大吉咯

热门日志

目前还没有人发表评论  ↓发表评论↓

[ Ctrl+Enter提交 ]

3437471453591321281023251740504243322112038418334931126263041298715442436271424616193932548

Freelance PHP Developer