DMserver.dll, xmlpro.dll, msbios.dll

症狀：
Symantec AntiVirus 掃出 Downloader Trojan 但是
無法完全移除之

來源：
猜測是 FlashGet 的衍生物

危險性：
看 Symantec 網站上寫是 Low （低）

Spybot-S&D 和 Microsoft-MRT 十月份都無法檢查出。

移除方式：
0. Uninstall FlashGet, 移除所有 StartUp 中跟 FlashGet 相關的 startup script
1. Windows 重開機按下 F8 進入安全模式
2. 再用 Symantec 掃一次
3. 到 system32/ 底下，三個檔案 xmlpro.dll, xmlprov.dll, xmlprovi.dll 日期都一樣，但是警告的只有 xmlpro.dll
4. 手動移除（備份）
5. 手動免疫 echo "" > xmlpro.dll, attrib +r xmlpro.dll
6. 重新開機。

後續：
觀察中，不知道到底是不是真木馬還是誤殺。

#木馬
#trojan
#dmserver
#xmlpro
#msbios

#木馬 by Type
#trojan by Type
#dmserver by Type
#xmlpro by Type
#msbios by Type

Type(Type) 2008/11/16 11:11

根據 http://bbs.kafan.cn/thread-364835-1-1.html

衍生物（都是 downloader trojan) 包含
msbios.dll
xmlpro.dll
mstest.dll 等

實驗過後，
Microsoft MRT 11 月份
=> 無法掃出

Spybot 1.60 預設版本
=> 無法掃出

不過，大部分的防毒軟體應該都已經可以掃出。

Type(Type) 2009/1/15 20:54

可使用 Orbit Downloader 替代有木馬的 Flashget

www.orbitdownloader.com

Type(Type) 2009/1/16 02:04

dmserver.dll removal 移除方式 w32.grenail.b!inf

我猜測這又是 flashget 的傑作，
他把正確的 dmserver.dll 換成他要的 dmserver.dll

8c3...875 這一個是 OK 沒問題的。
但是 a22...72d 這一個應該是 trojan。

J:\utils\original-xp> md5sum dmserver.dll
8c319be12856bcc16b92c0f62510f875 *dmserver.dll

J:\utils\trojan-dmserver.dll> md5sum dmserver.dll
a2246bb5599d89d52de2aed5268dd72d *dmserver.dll

這個 dmserver trojan 會產生 taskMAGR.exe (trojan.startpage)

刪除方式 How to remove
-------------------------------------------------
0. Uninstall Flashget
1. F8 -> Safe mode 開機
2. Stop dmserver service，必要時把 svchost 都停止
3. 把正確的 dmserver.dll overwrite
4. 手動免疫 echo " " > system32/taskmagr.exe
attrib +r taskmagr.exe
5. Reboot

目前能給的建議是：不要再使用 Flashget (don't install flashget anymore)

中木馬者的苦主都有安裝 flashget，
之前提醒過 uninstall，後來不明原因還是又繼續裝。

Type(Type) 2009/6/21 12:17

Type 寫到:

2. Stop dmserver service，必要時把 svchost 都停止

步驟二，有兩個方式，

1. 使用 Process Explorer 把整個 services 全部殺掉
這時候系統會 Trap 60 秒重新開機，趁這 60 秒
=> copy Good_Clean_folder\dmserver.dll C:\windows\system32\dmserver.dll
把乾淨的 dmserver.dll copy 到 system32

可以搜尋 "Sysinternals Process Explorer" 去 Microsoft 網站下載
or http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

2. 第二種方式就是利用控制台(Control) -> 系統管理 -> 服務(service) -> Logical Disk Manager

參考下面圖片就可以了解。

Type(Type) 2009/6/22 12:23

1. Windows Live OneCare 線上掃描，可以偵測到此病毒
=> http://vovo2000.com/phpbb2/viewtopic-329791.html

2. 然後賽門鐵克 (Symantec) 好像還是偵測不到...。

(11,233 views)

"Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式" 傳統頁面(電腦版)

首頁繪圖設計工作閒聊比賽活動美術討論標籤圖片

傳統桌面版 [ 登入/註冊 ]