首页 | 博客群 | 公社 | 专栏 | 论坛 | 图片 | 资讯 | 注册 | 帮助 | 博客联播 | 随机访问
这年头,做好人真难啊!- -| 回首页 | 2008年索引 | - -MSN FOR Windows 2000

中毒不浅!!!

关键词病毒    木马    安全模式    漂泊浪子                                          

  在上网过程中,突然发现瑞星的实时监控关了,变成了红伞。知道坏了,中毒了!电脑自动重启,无法进入安全模式,卡卡上网安全助手无法运行,一运行,程序文件就被删除了,重新安装也不行。hijackthis和icesword运行不了,实际上是已经运行了,遭遇了映象劫持,通过查看注册表,发现运行的是ntsd -d,debug调试时候用的,所以看不到。。可以给hajackthis和icesword随便改个名字就可以运行了。

用HIJACKTHIS扫描发现可疑项:

O2 - BHO: (no name) - {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} - C:\Program Files\Internet Explorer\PLUGINS\WinSys8k.Sys
O4 - HKLM\..\Run: [WSockDrv32] C:\WINDOWS\WSockDrv32.exe
O4 - HKLM\..\Run: [PTSShell] C:\WINDOWS\PTSShell.exe
O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe
O4 - HKLM\..\Run: [Kvsc3] C:\WINDOWS\Kvsc3.exE
O4 - HKLM\..\Run: [DbgHlp32] C:\WINDOWS\DbgHlp32.exe
O4 - HKLM\..\Run: [jfncyxli] C:\WINDOWS\fcxihlcz.exe
O4 - HKLM\..\Run: [SHAProc] C:\WINDOWS\SHAProc.exe
O4 - Global Startup: AtiSrv.exe
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - hxxp://p3p.sogou.com/MMCShell.cab
O16 - DPF: {61DB8FBD-B64B-401E-BDA7-F36E44180805} (CNNIC_IDN) - hxxp://jump.cnnic.cn/stat/stat?sid=0008&debug=false&pid=c_yqifa_07179&url=http://client.jogo.cn/download/cnnic/cdn_nt.cab
O20 - AppInit_DLLs: bauhgnem.dll,eohsom.dll,fyom.dll,sauhad.dll,ijougiemnaw.dll,taijoad.dll,lnaixnauhqq.dll,idtj.dll,vhqq.dll,atgnehz.dll,rsqq.dll,tsqc.dll,vauyiqvlnaix.dll,wQ.dll,fmxh.dll,cty.dll,pahzij.dll,jz.dll,bz.dll,pyomielnux.dll,mhtd.dll,qnefnaib.dll,ej.dll,uixauh.dll,hjiq.dll,kiluw.dll,dsfg.dll,yqhs.dll,oaijihzeuyouhz.dll,jemnaw.dll,cuhad.dll,laixuhz.dll,rfhx.dll,mnauygniqaixnaij.dll,oqnauhc.dll,xjxr.dll,utiemnaw.dll,sve.dll,wininat.dll,gnolnait.dll,zadnew.dll,htwx.dll,knaixnauhuoyizqq.dll,duygnef.dll,gmx.dll,nadgnohiac.dll,agzg.dll,qlihzouhgnfe.dll,xhtd.dll,QQ.dll,sfhx.dll,gnaixnauhqq.dll,3auhad.dll,oadnew.dll,iemnaw.dll,qcsct.dll,oadgnohiac.dll,iqnauhc.dll,aixauh.dll,ddtj.dll,nuygnef.dll,uohsom.dll,gnefnaib.dll,ijiq.dll,hjxr.dll,naijoad.dll,naixuhz.dll,nahzij.dll,fmxh.dll,zqhs.dll,jsfg.dll,utgnehz.dll,uyom.dll,wtiemnaw.dll,uyomielnux.dll,vlihzouhgnfe.dll,2ty.dll,nauhgnem.dll,auhad.dll,rj.dll,hz.dll,naijihzeuyouhz.dll,xhqq.dll,jmx.dll,dgzg.dll,gsqq.dll,fz.dll,gnaixnauhuoyizqq.dll,gnolnait.dll,jsqc.d
O21 - SSODL: skmaopuhs - {0c8221af-840a-d95f-951b-840aa92740e3} - C:\WINDOWS\system32\nfhvjkpcn.asu

开机后运行任务管理器里有多个以数字命名的exe文件在跑,过一会就没了,估计是在从网上下病毒。具体杀毒过程就不说了,这次整的我累死了。。。给出清除内容、瑞星扫描结果和一些截图。

在windows\system32下找到当天创建的DLL文件,注意需要显示隐藏文件及系统隐藏文件,才能全部找出来。
system32下找到的可疑文件,瑞星扫描结果:
    1.文件名:msosmhfp.dat
    不是病毒

    2.文件名:msosmhfp00.dll
    病毒名:Trojan.PSW.Win32.XYOnline.abx

    1.文件名:73216.dat
    病毒名:AdWare.Win32.Agent.zti

    2.文件名:cuhad.cfg
    不是病毒

    3.文件名:cuhad.dll
    病毒名:Trojan.PSW.Win32.XYOnline.aay

    4.文件名:DbgHlp32.dlL
    病毒名:Trojan.PSW.Win32.GameOL.mfl

    5.文件名:eohsom.cfg
    不是病毒

    6.文件名:eohsom.dll
    病毒名:Trojan.PSW.Win32.OnlineGames.GEN

    7.文件名:fJADJAD1040.dll
    病毒名:Trojan.PSW.Win32.ZeroOnline.dl

    8.文件名:fNNBNNB1030.dll
    病毒名:Trojan.PSW.Win32.GameOL.GEN

    9.文件名:fSACSAC1016.dll
    病毒名:Trojan.PSW.Win32.GameOL.gen

    10.文件名:gnolnait.cfg
    不是病毒

    11.文件名:gnolnait.dll
    病毒名:Trojan.PSW.Win32.OnlineGames.GEN

    12.文件名:hfrdzx.dll
    病毒名:Trojan.PSW.Win32.GamesOnline.pc

    13.文件名:hfrdzx.dll.lOg
    不是病毒

    14.文件名:iemnaw.cfg
    不是病毒

    15.文件名:iemnaw.dll
    病毒名:RootKit.Win32.GameHack.GEN

    16.文件名:ijougiemnaw.cfg
    不是病毒

    17.文件名:ijougiemnaw.dll
    病毒名:Trojan.PSW.Win32.GameOL.lvx

    18.文件名:kiluw.cfg
    不是病毒

    19.文件名:kiluw.dll
    病毒名:RootKit.Win32.GameHack.GEN

    20.文件名:Kvsc3.dll
    病毒名:Trojan.PSW.Win32.SunGame.i

    21.文件名:mseion.sys
    病毒名:RootKit.Win32.GameHack.GEN

    22.文件名:oadnew.cfg
    不是病毒

    23.文件名:oadnew.dll
  &nbp; 病毒名:RootKit.Win32.GameHack.GEN

    24.文件名:oqnauhc.cfg
    不是病毒

    25.文件名:oqnauhc.dll
    病毒名:Trojan.PSW.Win32.OnlineGames.GEN

    26.文件名:pnbxqcol.dll
    病毒名:Trojan.PSW.Win32.GameOL.mfi

    27.文件名:PTSShell.dll
    病毒名:Trojan.PSW.Win32.GameOL.mfk

    28.文件名:rtclmg32.dll
    不是病毒

    29.文件名:SHAProc.dll
    病毒名:Trojan.PSW.Win32.HXOnline.fp

    30.文件名:taijoad.cfg
    不是病毒

    31.文件名:taijoad.dll
    病毒名:Trojan.PSW.Win32.DJOnline.bq

    32.文件名:upxdnd.dll
    病毒名:Trojan.PSW.Win32.GameOL.mdu

    33.文件名:WIN.INI
    不是病毒

    34.文件名:win2.ini
    不是病毒

    35.文件名:WSockDrv32.dll
    病毒名:Trojan.PSW.Win32.QQGame.geu

    36.文件名:zgxfdx.dll
    病毒名:Trojan.PSW.Win32.GameOL.mez

    37.文件名:zjydcx.dll
    病毒名:Trojan.PSW.Win32.GamesOnline.pd

在Windows文件夹下找到的可疑文件,瑞星扫描结果:
    1.文件名:18.exe
    病毒名:Trojan.PSW.Win32.GamesOnline.pc

    2.文件名:21.exe
    病毒名:Trojan.PSW.Win32.GamesOnline.ok

    3.文件名:22.exe
    病毒名:Trojan.PSW.Win32.GameOL.mdj

    4.文件名:24.exe
    病毒名:Trojan.PSW.Win32.GamesOnline.pa

    5.文件名:25.exe
    病毒名:Worm.Win32.PaBug.get

    6.文件名:AtiSrv.exe
    病毒名:Trojan.PSW.Win32.GameOL.mhg

    7.文件名:DbgHlp32.exe
    病毒名:Trojan.PSW.Win32.GameOL.GEN

    8.文件名:fcxihlcz.exe
    病毒名:Trojan.PSW.Win32.GameOL.mfi

    9.文件名:Kvsc3.exE
    病毒名:Trojan.PSW.Win32.GameOL.GEN

    10.文件名:PTSShell.exe
    病毒名:Trojan.PSW.Win32.GameOL.GEN

    11.文件名:SHAProc.exe
    病毒名:Trojan.PSW.Win32.HXOnline.fp

    12.文件名:upxdnd.exe
    病毒名:Trojan.PSW.Win32.GameOL.GEN

    13.文件名:WSockDrv32.exe
    病毒名:Trojan.PSW.Win32.GameOL.GEN

在windows\system32\drivers下找到的可疑文件,瑞星扫描结果
    1.文件名:msaclue.sys
    病毒名:RootKit.Win32.GameHack.ger

    2.文件名:mselk.sys
    病毒名:RootKit.Win32.GameHack.GEN

    3.文件名:msosfpids32.sys
    病毒名:RootKit.Win32.Mnless.hz

    4.文件名:msyecp.sys
    病毒名:RootKit.Win32.GameHack.GEN

C:\Program Files\Internet Explorer\PLUGINS\WinSys8k.Sys 病毒Worm.Win32.PaBug.get

另外用瑞星在线扫描到IE临时文件夹下的病毒:(看来中完毒以后还是要清空一下IE临时文件夹)
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\0dqb8tef\15[1].exe>>upack0.39 Trojan.PSW.Win32.GamesOnline.pc
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\0dqb8tef\2[1].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\0dqb8tef\2[2].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\7kifm0di\22[1].exe>>upack0.39 Trojan.PSW.Win32.GameOL.mdj
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\7kifm0di\9[1].exe>>upack0.36 Trojan.PSW.Win32.GameOL.mau
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\7kifm0di\9[2].exe>>upack0.36 Trojan.PSW.Win32.GameOL.mau
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\87hvy2rx\20[1].exe>>upack0.32 Trojan.PSW.Win32.QPCat.a
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\87hvy2rx\7[1].exe>>upack0.36 Trojan.PSW.Win32.GameOL.mau
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\87hvy2rx\7[2].exe>>upack0.36 Trojan.PSW.Win32.GameOL.mau
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\8luzw5mv\14[1].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\8luzw5mv\1[1].exe>>upack0.39-b Trojan.PSW.Win32.GamesOnline.oe
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\8luzw5mv\1[2].exe>>upack0.39-b Trojan.PSW.Win32.GamesOnline.oe
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\alhery1w\18[1].exe>>upack0.39 Trojan.PSW.Win32.GamesOnline.pc
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\alhery1w\5[1].exe>>upack0.36 Trojan.PSW.Win32.GameOL.mau
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\alhery1w\5[2].exe>>upack0.36 Trojan.PSW.Win32.GameOL.mau
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\lb3vu3t3\12[1].exe>>upack0.39 Trojan.PSW.Win32.GamesOnline.pc
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\lb3vu3t3\24[1].exe>>upack0.39 Trojan.PSW.Win32.GamesOnline.pa
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\o9uj01a3\21[1].exe>>upack0.39 Trojan.PSW.Win32.GamesOnline.ok
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\o9uj01a3\8[1].exe>>upack0.36 Trojan.PSW.Win32.GamesOnline.mh
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\o9uj01a3\8[2].exe>>upack0.36 Trojan.PSW.Win32.GamesOnline.mh
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\r5oxjhbg\23[1].exe>>upack0.36 Trojan.PSW.Win32.AskTao.gv
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\tbzf5xce\19[1].exe>>upack0.32 Trojan.PSW.Win32.GameOL.mfi
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\tbzf5xce\6[1].exe>>upack0.36 Trojan.PSW.Win32.AskTao.gv
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\tbzf5xce\6[2].exe>>upack0.36 Trojan.PSW.Win32.AskTao.gv
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\wd2z81qj\16[1].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\zikb39s1\17[1].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\zikb39s1\4[1].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN
c:\documents and settings\chenwenwei\local settings\temporary internet files\content.ie5\zikb39s1\4[2].exe>>upack0.32 Trojan.PSW.Win32.GameOL.GEN

清除注册表中的映象劫持,位于注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]下,清除文件名为hijackthis.exe,icesword.exe, rav.exe, kav.exe等劫持反病毒软件的项。

在册表中还发现了问题项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{45AADFAA-DD36-42AB-83AD-0521BBF58C24}"=""
"{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}"=""
"{3e0bacb8-81b9-433b-aee0-0148600996e3}"="fNNBNNB1030.dll"
"{f93de3de-bc82-4f9a-a3fc-e49c4fe9c38d}"="fSACSAC1016.dll"
"{e77716e3-ad23-4708-a094-a214c3fc60da}"="fJADJAD1040.dll"
一并删除。

在windows下找到的win.ini文件内容(HTTP已被我替换为HXXP防止误点下载病毒)
[MAIN]
VERSION=2008-2-3

[URL]
1=hxxp://iii.u668u.com/wm/1.exe
2=hxxp://iii.u668u.com/wm/2.exe
3=hxxp://iii.u668u.com/wm/3.exe
4=hxxp://iii.u668u.com/wm/4.exe
5=hxxp://iii.u668u.com/wm/5.exe
6=hxxp://iii.u668u.com/wm/6.exe
7=hxxp://iii.u668u.com/wm/7.exe
8=hxxp://iii.u668u.com/wm/8.exe
9=hxxp://iii.u668u.com/wm/9.exe
10=hxxp://iii.u668u.com/wm/10.exe
11=hxxp://iii.u668u.com/wm/11.exe
12=hxxp://iii.u668u.com/wm/12.exe
13=hxxp://iii.u668u.com/wm/13.exe
14=hxxp://iii.u668u.com/wm/14.exe
15=hxxp://iii.u668u.com/wm/15.exe
16=hxxp://iii.u668u.com/wm/16.exe
17=hxxp://iii.u668u.com/wm/17.exe
18=hxxp://iii.u668u.com/wm/18.exe
19=hxxp://iii.u668u.com/wm/19.exe
20=hxxp://iii.u668u.com/wm/20.exe
21=hxxp://iii.u668u.com/wm/21.exe
22=hxxp://iii.u668u.com/wm/22.exe
23=hxxp://iii.u668u.com/wm/23.exe
24=hxxp://iii.u668u.com/wm/24.exe
25=hxxp://iii.u668u.com/wm/25.exe
26=hxxp://iii.u668u.com/wm/26.exe

在windows\system32下发现hfrdzx.dll.lOg内容
[dl]
dlnm=C:\WINDOWS\system32\18.exe

猜想是从这个程序开始下载病毒。

做完上述工作后,用AUTORUNS扫描了一下,又发现了一些间谍软件

【作者: 漂泊浪子】【访问统计:】【2008年03月4日 星期二 20:29】【注册】【打印

搜索
Google

Trackback

你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=6643777

回复

- 评论人:endurer   2008-03-05 23:27:10  endurer的博客  

今天在帮一位网友检查修的电脑中发现了一些相同的东东!
验证码:   
评论内容: