c:\WINDOWS\system32\COMBoHEvent.dll

查看目录下是否存在次文件

COM+ Event System Helper

服务中多出次项目

描述为

支持系统事件通知服务(SENS)，此服务为订阅

可执行路径以及参数

C:\WINDOWS\System32\svchost.exe -k COMEventHelper


其作用为劫持IE或者其他相关EXE文件,在网页点击后弹出无法预测的网页。泄漏本机密码等等

由于和诸多软件混合 修改结构关联等等 暂时只发现这些 等分析文件后继续 极度危险

2006-9-9 20:55:18 C:\Program Files\Internet Explorer\IEXPLORE.EXE 试图使用命令行参数运行浏览器: "C:\Program Files\Internet Explorer\iexplore.exe" http://www.maohehe.com/html/16.html?111.

2006-9-9 23:18:50 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\KRSRO18T\webxl_g00765[1].exe 试图使用命令行参数运行浏览器: "http://help.xunlei.com/online/stat_inst.php?pid=00765",,-1,0,,,,.


以上是截获的数据 现在估计没有杀毒软件能停止

只能做到手动停止服务后删除 COMBoHEvent.dll C:\Program Files\Internet Explorer\iedw.exe 以上文件

继续分析后汇报

忘记说了 这个是个综合性程序 混合广告程序木马程序

服务内还有个辅助程序

显示名

COM+ System Application

描述

管理 基于COM+ 组件的配置和跟踪。如果服务停止，大多数基于 COM+ 组件将不能正常工作。如果本服务被禁用，任何明确依赖它的服务都将不能启动。
或者
管理卷影复制服务拍摄的软件卷影复制。如果该服务被停止，软件卷影复制将无法管理。如果该服务被停用，任何依赖它的服务将无法启动。

可执行路径


C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}

还有个

名称istributd Link Traking Cie
组别:O23 - 系统服务
安全级别: 未知
命令行:C:\WINDOWS\svchocst.exe
文件描述:
出品公司:
文件大小:0 KB

搜索注册表 有没有这个

COMEventHelper.bat

@echo off
:loop
net stop COMEventHelper
del c:\windows\system32\COMEventHelper.dll
if exist "c:\windows\system32\COMEventHelper.dll" goto loop
copy c:\windows\system32\Update\COMEventHelper.dll c:\windows\system32\COMEventHelper.dll
del c:\windows\system32\Update\COMEventHelper.dll
net start COMEventHelper
del %0

真的有够无聊的


还有要铲除彻底 注册表搜索下就可以了

什么杀毒软件都没有用 靠!! 好烦

[ 本帖最后由 wuhaolove 于 2006-9-10 00:14 编辑 ]

应该是一个spyware

貌似我没有

量它也进不了偶的机器。

aaaaaaaaaaaaaaa