手工彻底清除 ActiveX.Muldist.AutoDownRun/TrojanDownloader.Win32.Dyfuca.o(MultiDistFC.cab/MulDist.ocx) 木马的方法
作者:费尔安全实验室(原创), 日期:2003/12/29. 若转载请注明引自"费尔安全实验室"

最近有许多用户反应一些杀毒软件在发现一个名为 TrojanDownloader.Win32.Dyfuca.o 的木马后遇到无法删除的问题,或者是出现要求用户解压后再清除木马的提示,下面就告诉大家一个清除此木马的方法:

费尔托斯特安全是可以清除此木马的及它的压缩包的(费尔托斯特安全报告名称为 ActiveX.Muldist.AutoDownRun),并且无须解压,如果手上有它的正式版可以使用它删除(建议先升级到最新版的病毒库)。如果没有也可以用下面的方法手工清除它(注意以下方法测试于Windows2000/XP/2003/NT,9x/me下可能有些略有不同,这时建议使用费尔托斯特安全清除),不过这需要分 3 种情况,操作时请按自己的情况选择相应的处理办法:

一、不知道自己是否感染此木马或杀毒软件报告此木马是在 %windir%\Downloaded Program Files 目录下的情况。注意其中的 %windir% 代表的是您Windows的安装目录,比如:如果您使用的是Windows98/Me并且安装在C盘则此目录应该是C:\Windows\Downloaded Program Files;如果是Windows2000/XP/20003并且安装在D盘,则目录应该是D:\WINNT\Downloaded Program Files。如果是这种情况请按下面的方法做:

  1. 依次打开IE的 工具/Internet选项/“Internet临时文件”处的“设置”/查看对象
  2. 在打开的列表中查找一个“程序文件”是“MultiDist”的项目,如果找不到就不用继续了,请参考其他情况下的处理办法;如果找到它则在它名子上点右键,接着在弹出的菜单中点“删除”;
  3. 重新启动计算机;
  4. 依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下,9x/Me下请输入 command),进入到命令行模式,然后用DOS命令进入到 %windir%\Downloaded Program Files 目录下,找到 MulDist.ocx 文件后用del命令删除它。这里需要提醒一下,如果在此目录中找不到这个文件请进入到当前目录下的各个子目录中找找,找到后删除。
这样此木马就清除掉了,不过如果杀毒软件报告木马不是在 %windir%\Downloaded Program Files 目录下而是在 “系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\...” 目录下(如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5)请使用下面的第2种方法清除它:

二、操作系统使用的是Windows2000/XP/2003,并且杀毒软件报告此木马是在 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录下的情况。注意其中的“系统目录”代表的是您Windows2000/XP/2003安装的盘符,比如:如果您的win2000/nt/xp安装在C盘则就是 C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX ,并且Content.IE5后面的XXXX代表的是不确定的子目录,不同的系统下情况都会不同,这可以根据杀毒软件的具体提示来确定,在记下这个目录及文件名后请按下面的方法做:

  1. 依次打开 开始/运行 ,输入 cmd 后确定(这是在NT/2000/XP/2003下),进入到命令行模式;
  2. 在命令行模式下进入到这个 系统目录:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\XXXX 目录中,找到杀毒软件提示的那个文件,找到后直接用del命令删除它就行了。

三、木马不是在上面任何一种目录中的情况:

  • 这个方法最简单,用资源管理器找到文件后直接删除它就行了,而不用在意杀毒软件的“解开再同清除”的提示,直接删除相应的cab或ocx文件都可以。

至此,如果一切顺利您就应该可以清除掉此木马了。

特别提示:此木马实际上算不上一个木马,而只是一个下载并有自动执行特定文件的组件程序,它本身也许并没有危害,但常常被一些不怀好意的网站来传播木马,并且此组件在安装到系统时是象Flash组件一样会做出是否安装的询问的(除非自己的IE安全级别设置太低),但还是有很多用户由于不注意而选择了“是”才导致安装了它,从而为以后的木马打开了方便之门。
因此在此特别提醒大家:上网期间如果遇到提示是否安装某某程序或组件的时候,即使提示程序已经经过认证,但只要自己对它不熟悉也最好不要选“是”。另外还至少要把自己IE的安全级别设置为“中”即“默认级别”。


* 作者:费尔安全实验室(原创), 日期:2003/12/29. 若转载请注明引自"费尔安全实验室" *