日期:2014-05-17  浏览次数:20922 次

有多少人中了这个耍赖病毒? shualai.exe
ZT
前几天遇到一个自称耍赖的病毒shualai.exe

现象:
Mcafree反复报Trojian   PWS   win32病毒,关联文件xia.exe   mppds.dll   gjzo0.dll等等,就是杀不了,再启动又再出现;
盗号密码,各类帐号易于被窃;
病毒自动运行及被感染程序文件动行时会影响处理速度。

分析:
木马下载器,下载了群组盗号木马,自动生成以下文件和文件夹——
c:\windows\shualai.exe
c:\windows\winworm.exe
c:\windows\msccrt.exe
c:\windows\c0nime.exe
c:\DOCUME~1\LOCALS~1\Temp\Gjzo0.dll
c:\DOCUME~1\LOCALS~1\Temp\Mppds.dll
c:\DOCUME~1\LOCALS~1\Temp\c0mine\c0nime.exe
c:\DOCUME~1\LOCALS~1\Temp\xia1~7.exe
c:\windows\shualai
c:\windows\winworm
c:\windows\msccrt
c:\windows\c0nime
c:\DOCUME~1\LOCALS~1\Temp\c0mine
c:\DOCUME~1\LOCALS~1\Temp\xia1~7
感染很多.exe的程序文件,一旦运行任何程都会报病毒;
同时还修改了注册表和自动启动项,开机内存自动启动。
对策:
重启进入安全模式下把上述文件夹及文件删除;
运行mscnfig,去除自动启动项shualai.exe、winworm.exe、msccrt.exe、c0nime.exe;
运行regidit,搜索shualai、winworm、msccrt、c0nime、Gjzo0、Mppds、xia1~7,全部删除;
再重启运行杀毒软件,没有报病毒了吧。

后话:
从Trojian   PWS   win32.onlinegame起已出现N个类似病毒变种;
shualai.exe,算不上很赖。

------解决方案--------------------
虽然现在还没遇到,
但还是要谢谢啊!