首頁 美術繪圖 | 美術設計 | 熱門標籤 | 首選 | 首頁宣傳 | 近期作品 論壇: 發表 | 美術工作 | 美術比賽 | 展覽活動 | 美術相關 | 一般討論 | 美術同好 CG 討論 :: Photoshop | Painter | 3D 行動 | AMP
【 立即註冊 】 : 更改個人資料 : : 登入
會員名稱: 登入密碼: 保持登入

Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式

發表新主題 回覆主題 討論區 Windows, Linux, Perl, PHP, C/C++, Driver, Web 理論、應用、硬體、軟體
| 1頁, 共1
人氣點閱:11300 發表人
Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式 2008-11-13 00:31
分類: ✔️木馬 ✔️trojan ✔️dmserver ✔️xmlpro ✔️msbios
個人: ✔️木馬 ✔️trojan ✔️dmserver ✔️xmlpro ✔️msbios
/ / /

DMserver.dll, xmlpro.dll, msbios.dll



症狀:
Symantec AntiVirus 掃出 Downloader Trojan 但是
無法完全移除之

來源:
猜測是 FlashGet 的衍生物

危險性:
看 Symantec 網站上寫是 Low (低)

Spybot-S&D 和 Microsoft-MRT 十月份都無法檢查出。


移除方式:
0. Uninstall FlashGet, 移除所有 StartUp 中跟 FlashGet 相關的 startup script
1. Windows 重開機按下 F8 進入安全模式
2. 再用 Symantec 掃一次
3. 到 system32/ 底下,三個檔案 xmlpro.dll, xmlprov.dll, xmlprovi.dll 日期都一樣,但是警告的只有 xmlpro.dll
4. 手動移除(備份)
5. 手動免疫 echo "" > xmlpro.dll, attrib +r xmlpro.dll
6. 重新開機。

後續:
觀察中,不知道到底是不是真木馬還是誤殺。
________________

美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 11214
來自: vovo2000.com
V幣: 902096
Re: Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式 2008-11-16 11:11
/ / /
根據 http://bbs.kafan.cn/thread-364835-1-1.html

衍生物(都是 downloader trojan) 包含
msbios.dll
xmlpro.dll
mstest.dll 等



實驗過後,
Microsoft MRT 11 月份
=> 無法掃出

Spybot 1.60 預設版本
=> 無法掃出

不過,大部分的防毒軟體應該都已經可以掃出。
________________

美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 11214
來自: vovo2000.com
V幣: 902096
Re: Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式 2009-01-15 20:54
/ / /

可使用 Orbit Downloader 替代有木馬的 Flashget




www.orbitdownloader.com

________________

美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 11214
來自: vovo2000.com
V幣: 902096
Re: Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式 2009-01-16 02:04
/ / /

dmserver.dll removal 移除方式 w32.grenail.b!inf



我猜測這又是 flashget 的傑作,
他把正確的 dmserver.dll 換成他要的 dmserver.dll

8c3...875 這一個是 OK 沒問題的。
但是 a22...72d 這一個應該是 trojan。

J:\utils\original-xp> md5sum dmserver.dll
8c319be12856bcc16b92c0f62510f875 *dmserver.dll

J:\utils\trojan-dmserver.dll> md5sum dmserver.dll
a2246bb5599d89d52de2aed5268dd72d *dmserver.dll

這個 dmserver trojan 會產生 taskMAGR.exe (trojan.startpage)


刪除方式 How to remove
-------------------------------------------------
0. Uninstall Flashget
1. F8 -> Safe mode 開機
2. Stop dmserver service,必要時把 svchost 都停止
3. 把正確的 dmserver.dll overwrite
4. 手動免疫 echo " " > system32/taskmagr.exe
attrib +r taskmagr.exe
5. Reboot


目前能給的建議是:不要再使用 Flashget (don't install flashget anymore)

中木馬者的苦主都有安裝 flashget,
之前提醒過 uninstall,後來不明原因還是又繼續裝。
________________

美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 11214
來自: vovo2000.com
V幣: 902096
Re: Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式 2009-06-21 12:17
/ / /
Type 寫到:

2. Stop dmserver service,必要時把 svchost 都停止


步驟二,有兩個方式,

1. 使用 Process Explorer 把整個 services 全部殺掉
這時候系統會 Trap 60 秒重新開機,趁這 60 秒
=> copy Good_Clean_folder\dmserver.dll C:\windows\system32\dmserver.dll
把乾淨的 dmserver.dll copy 到 system32

可以搜尋 "Sysinternals Process Explorer" 去 Microsoft 網站下載
or http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

2. 第二種方式就是利用 控制台(Control) -> 系統管理 -> 服務(service) -> Logical Disk Manager


參考下面圖片就可以了解。
dmserver-fix_Stop-DMServer.jpg
dmserver-fix_Stop-DMServer.jpg

dmserver-fix_Kill-All-Service.jpg
dmserver-fix_Kill-All-Service.jpg


________________

美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 11214
來自: vovo2000.com
V幣: 902096
Re: Downloader: xmlpro.dll / msbios.dll / dmserver.dll 移除方式 2009-06-22 12:23
/ / /
1. Windows Live OneCare 線上掃描,可以偵測到此病毒
=> https://vovo2000.com/f/viewtopic-329791.html

2. 然後賽門鐵克 (Symantec) 好像還是偵測不到...。
________________

美術插畫設計案子報價系統 v0.1 Beta
爪哇禾雀
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 11214
來自: vovo2000.com
V幣: 902096



資訊相關理論、技術、管理、應用、產品等
發表新主題 回覆主題