首先確定你的機器上沒有安裝傳奇 以為傳奇的私服登陸器運行時在進程裡也是dl.exe 如果你沒有傳奇 那麼你中木馬了引用:
病毒名稱:特洛伊病毒Win32.Harnig Family
其它名稱:StartPage-BT (McAfee)、Win32/Harnig!generic、Trojan.Win32.Harnig.b (Kaspersky)、HTML/Harnig.B.Trojan、Win32/Harnig.B.Trojan、Win32.Harnig.BN 、Win32/Harnig.G (Eset)
病毒屬性:特洛伊木馬
危害性:低危害
具體介紹:
病毒特性:
Win32.Harnig是一族特洛伊病毒,能夠下載並運行任意檔案。
感染方式:
一旦被激活,特洛伊可能複製自身到%Windows%目錄,已知的幾個變體使用以下檔案名:
dl.exe
dlm.exe
consol32.exe
每個變體生成一個鍵值,為了在Windows啟動時運行:複製內容到剪貼板
代碼:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dial32 = "%Windows%\dl.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Dial33 = "%Windows%\dlm.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cons = "%Windows%\consol32.exe"註:'%Windows%'是一個可變的路徑。病毒通過查詢操作系統來決定Windows檔案夾的位置。Windows 2000 and NT預設的系統安裝路徑是C:\Winnt; 95,98 和 ME 的是C:\Windows; XP 的是C:\Windows。
危害:
下載並運行任意檔案
運行時,Harnig的變體連接某個域下載並運行檔案。已知的Harnig變體會下載以下病毒變體:複製內容到剪貼板
代碼:
Win32/Anserin
Win32/Haxdoor
Win32/Oneraw
Win32/Hsow
Win32/Startpage
Win32/SillyDl
Win32/Fanop
Win32/Difisim
Win32/Sinteri
Win32/TibserHarnig從以下域下載檔案:
iframebiz.biz
toolbarurl.biz
iframeurl.biz
修改Hosts檔案
Hosts檔案包含IP地址和主機名的映射。Windows在查詢DNS之前需要查找Hosts檔案。在Windows XP、2000、NT 系統中hosts 檔案位於%System%\drivers\etc\hosts;在Windows 9x 系統中hosts檔案位於%Windows%\hosts。
[quote]Harnig下載一個修改的Hosts檔案,寫入%Windows%目錄,阻止訪問以下域:
n-glx.s-redirect.com
x.full-tgp.net
counter.sexmaniack.com
autoescrowpay.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
awmdabest.com
sexfiles.nu
allforadult.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
iframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
newiframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
vesbiz.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
pizdato.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
aaasexypics.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
virgin-tgp.net
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
awmcash.biz
buldog-stats.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
fregat.drocherway.com
slutmania.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
toolbarpartner.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
megapornix.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
sp2fucked.biz
greg-tut.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
nylonsexy.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
vparivalka.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
iframeprofit.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
topsearch10.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
statscash.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
vxiframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
crazy-toolbar.com
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
topcash.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
loadcash.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
txiframe.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
procounter.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
advadmin.biz
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
trafficbest.net
訪客無法瀏覽此圖片或連結,請先 註冊 或 登入會員 。
besthvac.com
其它信息
Harnig變體生成以下鍵值,可能是作為一個感染標記,例如:
複製內容到剪貼板
代碼:
HKCU\Software\Microsoft\Windows\CurrentVersion\advnnn = "adv<nnn>"複製內容到剪貼板
代碼:
這個"<nnn>"是一個3位的阿拉伯數字。清除:
KILL安全冑甲最新版本可檢測/清除此病毒。
估計用EWIDO把 病毒庫升級到最新也能殺掉。[/quote]
給你說的兩種方法都可以查殺該病毒 但第二種更徹底
