20070329 winpnt 病毒 木马

20070329 winpnt 病毒 木马
http://www.yippeesoft.com

COMODO报告WINPNT操作Internet Explorer访问网络

MCAFEE纪录
N:\\Green\\internet\\GreenBrowserGB\\GreenBrowser.exe M:\\TEMP\\WINPNT.EXE 通用标准保护:禁止公用程序从 Temp 文件夹运行文件 
2007-1-22 16:20:59 1095 SF\\shengfang M:\\TEMP\\WINPNT.EXE D:\\WINDOWS\\SYSTEM32\\WINPNT.EXE 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 
2007-1-22 16:20:59 1095 SF\\shengfang M:\\TEMP\\WINPNT.EXE D:\\WINDOWS\\SYSTEM32\\WPRINT.EXE 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 
2007-1-22 16:21:00 1095 NT AUTHORITY\\SYSTEM D:\\WINDOWS\\system32\\services.exe \\REGISTRY\\MACHINE\\SYSTEM\\ControlSet001\\Services\\WPrinter 通用最大保护:禁止将程序注册为服务 
2007-1-22 16:28:07 1092 SF\\shengfang D:\\WINDOWS\\Explorer.EXE D:\\WINDOWS\\system32\\WINPNT3.EXE 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 

看看，是Vb写的，剩下的就好办了，杀进程，删除程序，删除服务 SC DELETE WPRINTER

资料：
winpnt最新手动杀除方法
首先症状是系统进程１００％即使删除后也会重新创建
１．要有个金山毒霸可疑文件扫描因为它可以帮助咱们找到隐藏进程名字为WINPNT.EXE位置是c:/windows/system32下，右键结束该隐藏进程．
２．找到该目录发现有WINPNT文件是个打印机的小图标志这时候删除它．
３继续在该目录找到一个叫WPRINT.EXE的文件是同样的图标，删除
４．在启动项目里将msccrt前的钩去掉
５．进入注册表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\winpnt这个折叠整个删除
重新启动机器ＯＫ了，这个病毒的往往伴随有其他的病毒，我只是阐述了删除该病毒的方法只让大家借鉴！希望有高手能完善并推广．

安全模式下

用sreng

删除(如果删除不了请禁止)服务[Win32服务应用程序=>删除服务=>设置(如果删除不了Win32服务应用程序=>修改启动类型Disabled=>设置)

[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
  <C:\\WINDOWS\\system32\\\\rundll32.exe windds32.dll,input><Microsoft Corporation
>
[WPrinter / WPrinter][Stopped/Auto Start]
  <C:\\WINDOWS\\SYSTEM32\\WPRINT.EXE><Microsoft Corporation>

删除换工具 PowerRMV
http://bbs.sjtu.edu.cn/file/virus/116779109798962.com
分别填入下面的文件（包括完整的路径） ，勾选“抑止杀灭对象再次生成”，点杀灭

C:\\WINDOWS\\SYSTEM32\\WINPNT.EXE
C:\\WINDOWS\\system32\\windds32.dll

重启，应该就好了

今天发现计算机发生如下现象：

1.        系统启动cup总是满的

2.        有些进程是重复的，比如有两个explorer.exe等等

3.        系统启动一些奇怪的进程，如welcome.exe，icwconn1.exe

4.        regedit进入注册表，查看自动启动的程序，出现了一些非法程序，如diskmanager.exe，security.exe

5.        查看系统服务包括了一些非法服务，如wprint.exe，winpnt.exe

杀毒工具查不出来，估计就是一些木马程序，采用如下处理办法解决：

1．  重启系统进入安全模式

2．  在winnt或者winnt/system32下面删除diskmanager.exe，security.exe，wprint.exe，winpnt.exe

3．  看看这两个目录是不是还有最近生成的文件，如果有嫌疑也一并删除

4．  重启系统，一切正常

搞定！

历史博文

• 20071120 水晶报表 发布 部署 - 2008
• 0408 wince tts smartphone sapi - 2006
• CVSNT增加用户权限管理 - 2005