[转帖]警惕木马病毒千橡互联插件...

转帖:警惕木马病毒千橡互联插件

     Trojan.Win32.StartPage.alb该病毒运行后，衍生病毒文件到%system32%与病毒当前目录下。添加注册表加载项以在重新启动系统后加载病毒体运行。添加下列计划任务添加下列服务，之后会连接某地址下载病毒文件到本机运行。造成强行插入IE插件等影响，给用户带来不便。    

清除方案：
1、使用安天木马防线可彻底清除此病毒(推荐)

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。
(1) 使用安天木马防线“进程管理”关闭病毒进程
upswnzd11.exe
(2) 删除病毒释放文件
%System32%\ 91dd2fa0.dll       
%System32%\ 91di2fa.exe
%System32%\91do2fa0.dll       
%System32%\bind_40255.exe
%System32%\cid_store.dat
%System32%\cjzqm.xl
%System32%\IE_Bar.exe    
%System32%\iExplorer.exe   
%System32%\mouzqm.xl
%System32%\msupdate.exe   
%System32%\report.htm
%System32%\Score.txt
%System32%\upswnzd11.exe   
%\system32\drivers%\moprot.sys
%\system32\drivers%\fsprot.sys
%Program Files\Common Files%\IE-Bar
%Program Files\Common Files%\update2
(3) 恢复病毒修改的注册表项目，删除病毒添加如上总结的注册表项
(4) 删除下列添加的服务项：
HKLM\System\CurrentControlSet\Services   
FsprotNTfilesystemMicrosoftCorporation
Value:String:“%system32%\drivers\fsprot.sys”
HKLM\System\CurrentControlSet\Services 
moprot WindowsNTRegistryDriverWindowsSystemInternal
Value: String: “%system32%\drivers\moprot.sys3”
(5)删除添加的计划任务
Win_Update_Program.job   c:\windows\system32\-200431.exe

相关链接参见：http://www.antiy.com/security/report/20061025.htm