清除Trojan.PSW.WoWar.qq等木马

endurer 原创

2006-11-13 第1版

昨晚，一位网友的电脑，瑞星不停地报告发现木马Trojan.PSW.WoWar.qq，文件为C:/WINDOWS/system32/dllms.dll，点击清除按钮，瑞星则提示下次启动时删除。让偶帮忙检查。

从 http://endurer.ys168.com 下载 HijackThis扫描 log，发现如下可疑项目：
/--------
Logfile of HijackThis v1.99.1
Scan saved at 22:03:23, on 2006-11-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:/Program Files/Microsoft/svhost32.exe

O4 - HKLM/../Run: [ms] C:/Program Files/Microsoft/svhost32.exe

O4 - HKLM/../Run: [LoadIE] C:/WINDOWS/rund1132.exe
--------/

终止进程：C:/Program Files/Microsoft/svhost32.exe

用WinRAR 手工检查，发现如下可疑文件：

C:/WINDOWS 下：
rund1132.exe
CSRSS.exe
SVCHOST.exe

C:/WINDOWS/system32 下：
DllReg.dll
rxdll.dll（Kaspersky 报为 Trojan-PSW.Win32.Nilage.asg）
xydll.dll（Kaspersky 报为 Trojan-PSW.Win32.Delf.ps）

C:/Program Files/Microsoft 下：
svhost32.exe

c:/program file/internet explorer 下：
CSRSS.exe
rundll32.exe（Kaspersky 报为 Trojan-PSW.Win32.Nilage.asg）
SERVICES.exe（Kaspersky 报为 Trojan-PSW.Win32.Nilage.asg）

打包备份后删除。

清空IE临时文件夹

 重启电脑再检查，C:/WINDOWS/system32/dllms.dll员已被瑞星清除。