endurer 原创
2006-11-17 第1版

有位网友的电脑，这两天瑞星总发现灰鸽子。

在该网友发来的HijackThis的log发现如下可疑项：

/-------
O2 - BHO: Java Class - {38CE3843-4420-4AA8-A129-F9E771B4561B} - C:/WINDOWS/java/classes/java.dll

O20 - AppInit_DLLs: kernel32.sys
-------/

用WinRAR检查：
C:/Documents and Settings/user/Local Settings/Temp下
/-------------------------------
emtv.com（Kaspersky 报为 Trojan-Downloader.Win32.Delf.awr）
IoMonkey.sys
（在HijackThis的启动项列表的服务中有：
IoMonkey: /??/C:/DOCUME~1/user/LOCALS~1/Temp/IoMonkey.sys (manual start)
在注册表中可以看到此项，但在IceSword 1.20中文版中看不到。）

mcbrar.exe（Kaspersky 报为 Trojan-Dropper.Win32.Small.atu）
mccrar.exe
mcrar.exe（Kaspersky 报为 Backdoor.Win32.SnooperYb.b）
mywl.dll（Kaspersky 报为 Trojan-PSW.Win32.Agent.ja）
npf.sys
packet.dll
stdwin.dll（Kaspersky 报为 Backdoor.Win32.SnooperYb.b）
vbr5dnt.dll
wanpacket.dll
Win1268.exe
Win2232.exe
-------------------------------/

c:/windows/system32下：
/-------------------------------
java.dll（Kaspersky 报为 Worm.Win32.Agent.o）
kernel32.sys（Kaspersky 报为 worm.Win32.Agent.o）
mfc48.dll（Kaspersky 报为 Worm.Win32.Agent.o）
mswdm.exe
svvosts.exe（Kaspersky 报为 Trojan-PSW.Win32.Agent.ja）
-------------------------------/

关于java.dll和kernel32.sys的分析也可以参考：
http://de.trendmicro-europe.com/enterprise/vinfo/encyclopedia.php?LYstr=VMAINDATA&vNav=3&VName=WORM_AGENT.FZW

不过里面没有提到mfc48.dll。

打包备份后删除。

在HiajckThis的启动项列表中还发现：
/-------------------------------
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysInfo.tmp => C:/Program Files/Common Files/Microsoft Shared/MSINFO/SysInfo.wmp||/
-------------------------------/

这好像是个盗取QQ帐号信息的东东。

用WinRAR检查C:/Program Files/Common Files/Microsoft Shared/MSINFO，如果有下列文件：
/-------------------------------
SysInfo.dll
SysInfo.tmp
SysInfo.wmp
-------------------------------/

也打包备份后删除。

下面的修复操作最好到安全模式下进行。
（有关方法可参考： 【系统修复系列之】基本操作索引http://endurer.blogchina.com/2591241.html)

重启电脑到安全模式下

关闭系统还原功能

用HijackThis 修复上面所列项目。

用HijackThis删除系统服务：IoMonkey。如果HijackThis删除不了的话，就直接到注册表里删罢。

清空IE临时文件夹和系统临时文件夹，c:/windows/prefetch文件夹。