打印

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

lhx98

正版用户

Rank: 6 Rank: 6

1楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

复制内容到剪贴板

代码:

飞狐交易师(专业版)V3.7.31016升级版.

文件生成时间为2003.10.20  23.06  23.07 

foxtrader.exe CRC 为 a6577797e

magiclink 变种木马!!我手工杀除了~现在提供给大家如何杀除.

据我分析,该木马为MAGIC LINK变种,使用UPX压缩.反编译后得到一些信息.

XP和2000系统会被在服务中加上Performance Service服务.杀除前需禁止该服务.

1.该木马生成三个主要文件,放到系统目录下的SYSTEM32目录.

三个文件名为:fh.exe,mmsysdll.dll,newfile.exe

木马作用偷取密码:生成密码文件.ppx.txt

2.杀除前断开网络,打开任务管理器,杀除iexploer.exe进程.

3.打开控制面板,管理工具,服务.先停止然后禁止Performance Service服务.

4.删除上述几个文件.删除放到飞狐目录下的foxtrader.exe并下载新的升级包覆盖.

5.重起一次.

由于我没有98系统,不能做相关分析.但据这个木马机理,应该启动项位与win.ini的LOAD项来加载木马程序.

本想到官方论坛求证，可惜目前已经无法登录了。

TOP

hx817

超级版主

Rank: 14

2楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

非法入侵 :(

TOP

lhx98

正版用户

Rank: 6 Rank: 6

3楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

难怪官方论坛维护中，今天上午论坛的速度就已经很慢了，经常无法刷新。
不过飞狐反应已算快的了，马上就升级到1018版。
不知这次非法入侵对正版用户会造成什么损失，如果口令真的被盗就麻烦了。

TOP

csmpaul

正版用户

Rank: 6 Rank: 6

4楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

我有mmsysdll.dll,newfile.exe 这两个文件,不知要不要删除

TOP

hx817

超级版主

Rank: 14

5楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

图1：检查c:\winnt\system32目录下是否有fh.exe，newfile.exe,mmsysdll.dll

附件: 您所在的用户组无法下载或查看附件

TOP

hx817

超级版主

Rank: 14

6楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

2.发现以上文件，由于是正在运行的程式。无法删除，需断开网络，打开任务器，杀除iexploer.exe（如果在任务管理器发现有的话）

3.停止Performance Service服务，如图2

附件: 您所在的用户组无法下载或查看附件

TOP

lhx98

正版用户

Rank: 6 Rank: 6

7楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

[QUOTE]最初由 csmpaul 发布
[B]我有mmsysdll.dll,newfile.exe 这两个文件,不知要不要删除 [/B][/QUOTE]
当然要删掉了，别忘了停掉相关的服务。如果系统提示无法删除可以进入安装模式中来删除。
木马清除后，到飞狐下载最新的1018版安装。下载地址链接如下：
http://www.foxtrader.net/temp/FT3a.zip

TOP

hx817

超级版主

Rank: 14

8楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

4.打开注册表，把这一项木马启动的服务设置分枝删掉。如图3，图4

附件: 您所在的用户组无法下载或查看附件

TOP

hx817

超级版主

Rank: 14

9楼大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

4

附件: 您所在的用户组无法下载或查看附件

TOP

csmpaul

正版用户

Rank: 6 Rank: 6

10楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

[QUOTE]最初由 lhx98 发布
[B]当然要删掉了，别忘了停掉相关的服务。如果系统提示无法?.

以下省略...... [/B][/QUOTE]
但我没有fh.exe这个文件啊,是什么回事呢?

TOP

hx817

超级版主

Rank: 14

11楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

重启动机器。重新下载飞狐的升级文件。

TOP

csmpaul

正版用户

Rank: 6 Rank: 6

12楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

我的注册表里PerformanceService的ImagePath是指向"C:\windows\system32\system.exe",而且这个文件的图标跟newfile.exe一样是把钥匙,请问system.exe 这个文件要不要删除?

TOP

hx817

超级版主

Rank: 14

13楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

你的系统是 win98 ?

TOP

csmpaul

正版用户

Rank: 6 Rank: 6

14楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

windows XP

TOP

hx817

超级版主

Rank: 14

15楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

这个文件肯定也是木马程序，因为这个键值是木马程序做的

TOP

csmpaul

正版用户

Rank: 6 Rank: 6

16楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

我已经删除了

TOP

hx817

超级版主

Rank: 14

17楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

如果发现有以下情形之一发生，则说明您的电脑已经感染了木马程序。
1.在c:\winnt\system32目录下有这三个文件： fh.exe, mmsysdll.dll, newfile.exe (对WIN98/ ME是c:\windows\system 目录)。
2.如果你的电脑上装有防火墙，你会看到有提示说一个叫“fh.exe”的程式试图要连上网。

建议解决方法为：
一、重要!!! 查看木马程式所创建的用于记录你的密码的文件，看看都有哪些密码给泄露了，这个文件是C:\windows\system\ppx.txt (win2K/XP是 c:\winnt\system32目录)，这部分密码务必请您更换，以策安全。
二、杀除木马，具体步骤：
1、对于windows2000 /XP用户：
在注册表中删除木马创建的Performance service服务分枝. HKEY_LOCAL_MACHINE\SYTEM\CurrentControlSet\Services\PerformanceService
对于WIN98/ME用户：
在c:\windows\win.ini中找到“Load=fh.exe”, 把这一行删除掉。
2.重启计算机
3.重启后,删除掉 c:\winnt\system32目录（Win98/Me是c:\windows\system目录）中的 fh.exe,mmsysdll.dll, newfile.exe 即可, 木马创建的ppx.txt文件请留下来备查，通过它可以查看它窃取了您的哪些信息。

4。重新下载干净的飞狐升级

TOP

爬虫

版主

Rank: 13

18楼 大中小发表于 2003-10-21 21:25 只看该作者

[重要]转贴：杀除飞狐V3.7.31016升级版附带的木马

还好!我没中!

TOP