修理中了病毒和N多流氓软件的电脑(第3版)

endurer　原创

2006-07-25　第2、3版 补充杀毒软件的反应
2006-07-24　第1版

　　一位网友说的他电脑中的IE窗口莫名其妙地跑出来许多工具栏，而且江民KV开机自动扫描发现病毒。让我帮忙清理一下。

　　该网友电脑使用的是windows 2000 Pro SP4。先看了一下江民的开机自动扫描记录：

　　病毒TrojanDownloader.Agent.aeg(http://virusinfo.jiangmin.com/infomation/200672495427.html)对应的文件名是文件名 c:/winnt/system32/VIPTray.exe。

　　瑞星将 c:/winnt/system32/VIPTray.exe 报为：Trojan.DL.AdLoad.jh。

　　打开c:/winnt/system32文件夹，江民KV文件监控报告：c:/winnt/system32/cns.exe感染了病毒Trojan/Agent.vf(http://virusinfo.jiangmin.com/infomation/200672111928.html)。

　　晕！江民KV开机自动扫描怎么没发现，现在才报告？

　　关闭江民KV的所有监控，不然在把病毒文件打包时会出问题。

　　把 c:/winnt/system32/cns.exe 和 c:/winnt/system32/VIPTray.exe 把包备份后删除。

　　开始-->控制面板-->添加删除程序

　　居然有N多的流氓软件栖息在这里，如雅虎助手、天下搜索、Desktop、百度搜霸、百狗搜索、中文上网、易虎……。

　　都卸掉了。

　　重新打开江民KV监控。

　　用Hijackis扫描log，发现如下可疑项目：

-----------
F2 - REG:system.ini: UserInit=C:/WINNT/system32/userinit.exe,C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/lbjadcn.exe

O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/PROGRA~1/DESKAD~1/deskipn.dll (file missing)

O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:/WINNT/system32/WinDefendor.dll

O2 - BHO: 网络加速 - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:/WINNT/system32/wuwebex.dll

O2 - BHO: bg - {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} - (no file)

O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:/WINNT/Downloaded Program Files/CONFLICT.1/barhelp24.0.dll

O4 - 启动项HKCU//Run: [Syss] C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe

O4 - 启动项HKCU//Run: [MyShares] c:/program Files/易虎/MyShares.exe /tray

O4 - 启动项HKCU//Run: [msnnt] C:/WINNT/mcUpdate.exe

O4 - Global Startup: IE-BAR.lnk = C:/WINNT/system32/rundll32.exe

O9 - 浏览器额外的按钮: test3 - {1FBA04EE-3024-11D2-8F1F-0000F87ABD38} - D:/Windows-KB886590-ENU-V1.1.exe (file missing)

O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
-----------

　　其中文件：
-----------
C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/lbjadcn.exe

C:/WINNT/mcUpdate.exe

D:/Windows-KB886590-ENU-V1.1.exe
-----------
　　已不存在。

　　但在 C:/WINNT/system32/drivers/mcq 文件夹里发现了：
-----------
2006-04-19  15:38                    0 adout.dat
2006-04-18  02:29               20,480 adout.exe
2006-06-21  02:27               40,960 mcUpdate.exe
2006-04-18  02:25                   46 up.dat
2006-04-18  02:29                  169 verx.dat
               5 个文件         61,655 字节
-----------

Kaspersky 把 mcUpdate.exe 报为 Trojan-Downloader.Win32.Agent.apu

瑞星 把 mcUpdate.exe 报为 Trojan.DL.Agent.kbp

江民KV 把 mcUpdate.exe 报为 TrojanDownloader.Agent.aec (http://virusinfo.jiangmin.com/infomation/2006721101151.html)。

　　需要注意的是：McAfee网络安全套装中，负责连接 到McAfee服务器进行病毒特征库升级的程序文件名也是mcupdate.exe，不要弄混了。

　　用winRAR找到文件：
-----------
C:/WINNT/system32/WinDefendor.dll
C:/WINNT/system32/wuwebex.dll
C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe
-----------
打包备份，但只能删除：C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe

Kaspersky 将 C:/WINNT/system32/WinDefendor.dll 报为：not-a-virus:AdWare.Win32.dm.m
Kaspersky 将 C:/WINNT/system32/wuwebex.dll 报为：not-a-virus:AdWare.Win32.Accelerator.e

　　而
-----------
C:/WINNT/system32/WinDefendor.dll
C:/WINNT/system32/wuwebex.dll
-----------
不能删除也不能改名。

　　还好，以前用的IceSword 1.12还在。

　　运行IceSword 1.12，发现这两个DLL注入到了explorer.exe 进程中，把wuwebex.dllunload后，移动到 c:/temp 文件夹中，以便分析。

　　但在unload WinDefendor.dll 时，系统提示 explorer.exe 进程出错。IceSword1.12 无法再查看 explorer.exe 进程的模块信息，重新启动 IceSword 1.12，发现不仅 WinDefendor.dll 还在注入 explorer.exe 进程中，而被转移到c:/temp 文件夹中的 wuwebex.dll 也注入到 explorer.exe 进程来了。晕！

　　Uload WinDefendor.dll 几次都出错。

　　到http://endurer.ys168.com下载下次启动时自动删除文件程序auto_del.rar，解压并运行auto_del.exe，把 C:/WINNT/system32/WinDefendor.dll 从winRAR程序窗口拖到 auto_del.exe 程序窗口，然后点击“下次启动时删除”按钮。

　　接着用记事本编辑 auto_del.exe 生成的 bat 文件，把删除命令del改成重命名命令ren。

　　关闭所有浏览器窗口和文件夹窗口，用HijackThis修复上面所列的可疑项目。

　　在 c:/program files 文件夹里发现 HuaCi、Searchnet、IE-Bar 等文件夹，也卸载和删除了。

　　想把几个可疑文件上报给瑞星，但打不开网页！但可以ping通www.163.com等网站，说明网络连接是正常的。晕！

　　重启电脑后，可以正常打开网页了。怀疑刚才打不开网页，是江民KV的网页监控引起的。