再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)
2006-08-12 11:53
591 查看
endurer 原创
2006-08-13 第2版 补充一个漏网的
2006-08-12 第1版
今早一上网,就有网友求助。他电脑屏幕右下角的瑞星实时监控小伞图标不见了,手动启动也不行。
通过QQ远程协助,先运行 瑞星注册表修复工具,发现 EXE文件关联 和 系统启动项(即下面HijackThis的log中的F2项) 被修改了。
到 http://endurer.ys168.com 下载了 Hijackthis 和 procview。
运行 Hijackthis 扫描log 和 启动项列表,发现如下可疑项目:
----------
Logfile of HijackThis v1.99.1
Scan saved at 8:24:59, on 2006-8-12
C:/WINDOWS/System32/NTdHcP.exe
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/System32/NTdhcp.exe
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: IHiu Class - {958E60AD-8539-400d-B4EF-8E8B8D944E85} - C:/WINDOWS/System32/BHOPOP.dll
O2 - BHO: shdocvwhlp Class - {BE442802-3911-46E0-B227-076B15A4EAD3} - C:/WINDOWS/System32/mssnmp16.dll
O4 - HKLM/../Run: [TProgram] C:/WINDOWS/SMSS.EXE
O4 - HKLM/../Run: [NTdhcp] C:/WINDOWS/System32/NTdhcp.exe
O4 - HKLM/../Run: [WinSvc] C:/WINDOWS/System32/WinSvc.exe
O4 - HKLM/../RunServices: [TProgram] C:/WINDOWS/SMSS.EXE
----------
StartupList report, 2006-8-12, 8:25:32
File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command
(Default) = C:/WINDOWS/ExERoute.exe "%1" %*
----------
看到 ExERoute.exe,我就想起了 传奇盗号木马。
用 瑞星注册表修复工具 修复 EXE文件关联 和 系统启动项。
用 ProcView 终止进程:
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/System32/NTdHcP.exe(注意:有两个)
检查 下列文件夹,发现如下可疑文件,用 WinRAR 打包备份,并加上扩展名 .del:
C:/WINDOWS 的目录
------------
2006-08-11 09:54 47,957 SMSS.EXE.del
2006-08-11 09:54 47,957 1.com.del
2006-08-11 09:54 47,957 finder.com.del
2006-08-11 09:54 47,957 explorer.com.del
2006-08-11 09:54 47,957 ExERoute.exe.del(与上面4个文件相同,Kaspersky 报为 Trojan-PSW.Win32.WOW.ew)
2006-04-19 08:07 300,032 RealPlayer.exe.del(这个就是 遭遇灰鸽子BackDoor.Gpigeon.ymg新变种 中说的那个东东,当时忙,没上报瑞星,想不到 瑞星18.39.42 还杀不了)
C:/WINDOWS/DEBUG 的目录
------------
2006-08-12 08:22 48,171 DebugProgram.exe.del
C:/WINDOWS/system32 的目录
------------
2003-03-15 00:00 17,389 mswdm.exe.del(Kaspersky 报为 Trojan-PSW.Win32.Lmir.azf,瑞星报为Trojan.PSW.Lmir.kuo)
2006-08-11 09:54 5,250 WinSvc.exe.del
2006-08-11 10:59 46,592 BHOPOP.dll.del(Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy)
2006-08-11 11:01 53,248 InTernater.exe.del(Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy)
2006-08-12 08:22 29,802 1.exe.del
2006-08-12 08:22 48,171 0.exe.del
2006-08-11 15:58 29,802 NTdHcP.exe.del
2006-08-12 08:22 48,171 rundll32.com.del
2006-08-12 08:22 48,171 finder.com.del
2006-08-12 08:22 48,171 command.pif.del
2006-08-12 08:22 48,171 MSCONFIG.COM.del
2006-08-12 08:22 48,171 dxdiag.com.del
2006-08-12 08:22 48,171 regedit.com.del
C:/PROGRAM FILES/Internet Explorer 的目录
------------
2006-08-12 08:22 48,171 iexplore.com.del
C:/Documents and Settings/abc/Local Settings/Temp 的目录
------------
2006-08-11 11:01 53,248 svchost.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy)
2006-08-11 09:54 5,250 22085.com
D:/ 的目录
------------
2006-08-12 08:43 33 autorun.inf.del
2006-08-11 09:54 47,957 pagefile.pif.del(Kaspersky 报为 Trojan-PSW.Win32.WOW.ew,瑞星报为 Trojan.PSW.Misc.kcc)
与
遭遇Trojan.PSW.Lmir等病毒(第4版)
http://endurer.blogchina.com/4634161.html
清除盗游戏帐号的密西木马变种(Trojan.PSW.Misc.r)等
http://endurer.blogchina.com/4968800.html
遭遇Viking/威金、Trojan-PSW.Win32.WOW.do等(三)
http://endurer.blogchina.com/5424439.html
相似。
运行HijackThis 修复上面所列的可疑项目。
清空IE临时文件夹。
2006-08-13 第2版 补充一个漏网的
2006-08-12 第1版
今早一上网,就有网友求助。他电脑屏幕右下角的瑞星实时监控小伞图标不见了,手动启动也不行。
通过QQ远程协助,先运行 瑞星注册表修复工具,发现 EXE文件关联 和 系统启动项(即下面HijackThis的log中的F2项) 被修改了。
到 http://endurer.ys168.com 下载了 Hijackthis 和 procview。
运行 Hijackthis 扫描log 和 启动项列表,发现如下可疑项目:
----------
Logfile of HijackThis v1.99.1
Scan saved at 8:24:59, on 2006-8-12
C:/WINDOWS/System32/NTdHcP.exe
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/System32/NTdhcp.exe
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: IHiu Class - {958E60AD-8539-400d-B4EF-8E8B8D944E85} - C:/WINDOWS/System32/BHOPOP.dll
O2 - BHO: shdocvwhlp Class - {BE442802-3911-46E0-B227-076B15A4EAD3} - C:/WINDOWS/System32/mssnmp16.dll
O4 - HKLM/../Run: [TProgram] C:/WINDOWS/SMSS.EXE
O4 - HKLM/../Run: [NTdhcp] C:/WINDOWS/System32/NTdhcp.exe
O4 - HKLM/../Run: [WinSvc] C:/WINDOWS/System32/WinSvc.exe
O4 - HKLM/../RunServices: [TProgram] C:/WINDOWS/SMSS.EXE
----------
StartupList report, 2006-8-12, 8:25:32
File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command
(Default) = C:/WINDOWS/ExERoute.exe "%1" %*
----------
看到 ExERoute.exe,我就想起了 传奇盗号木马。
用 瑞星注册表修复工具 修复 EXE文件关联 和 系统启动项。
用 ProcView 终止进程:
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/System32/NTdHcP.exe(注意:有两个)
检查 下列文件夹,发现如下可疑文件,用 WinRAR 打包备份,并加上扩展名 .del:
C:/WINDOWS 的目录
------------
2006-08-11 09:54 47,957 SMSS.EXE.del
2006-08-11 09:54 47,957 1.com.del
2006-08-11 09:54 47,957 finder.com.del
2006-08-11 09:54 47,957 explorer.com.del
2006-08-11 09:54 47,957 ExERoute.exe.del(与上面4个文件相同,Kaspersky 报为 Trojan-PSW.Win32.WOW.ew)
2006-04-19 08:07 300,032 RealPlayer.exe.del(这个就是 遭遇灰鸽子BackDoor.Gpigeon.ymg新变种 中说的那个东东,当时忙,没上报瑞星,想不到 瑞星18.39.42 还杀不了)
C:/WINDOWS/DEBUG 的目录
------------
2006-08-12 08:22 48,171 DebugProgram.exe.del
C:/WINDOWS/system32 的目录
------------
2003-03-15 00:00 17,389 mswdm.exe.del(Kaspersky 报为 Trojan-PSW.Win32.Lmir.azf,瑞星报为Trojan.PSW.Lmir.kuo)
2006-08-11 09:54 5,250 WinSvc.exe.del
2006-08-11 10:59 46,592 BHOPOP.dll.del(Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy)
2006-08-11 11:01 53,248 InTernater.exe.del(Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy)
2006-08-12 08:22 29,802 1.exe.del
2006-08-12 08:22 48,171 0.exe.del
2006-08-11 15:58 29,802 NTdHcP.exe.del
2006-08-12 08:22 48,171 rundll32.com.del
2006-08-12 08:22 48,171 finder.com.del
2006-08-12 08:22 48,171 command.pif.del
2006-08-12 08:22 48,171 MSCONFIG.COM.del
2006-08-12 08:22 48,171 dxdiag.com.del
2006-08-12 08:22 48,171 regedit.com.del
C:/PROGRAM FILES/Internet Explorer 的目录
------------
2006-08-12 08:22 48,171 iexplore.com.del
C:/Documents and Settings/abc/Local Settings/Temp 的目录
------------
2006-08-11 11:01 53,248 svchost.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy)
2006-08-11 09:54 5,250 22085.com
D:/ 的目录
------------
2006-08-12 08:43 33 autorun.inf.del
2006-08-11 09:54 47,957 pagefile.pif.del(Kaspersky 报为 Trojan-PSW.Win32.WOW.ew,瑞星报为 Trojan.PSW.Misc.kcc)
与
遭遇Trojan.PSW.Lmir等病毒(第4版)
http://endurer.blogchina.com/4634161.html
清除盗游戏帐号的密西木马变种(Trojan.PSW.Misc.r)等
http://endurer.blogchina.com/4968800.html
遭遇Viking/威金、Trojan-PSW.Win32.WOW.do等(三)
http://endurer.blogchina.com/5424439.html
相似。
运行HijackThis 修复上面所列的可疑项目。
清空IE临时文件夹。
相关文章推荐
- 某政府网站和某中央企业的网站被挂魔兽网游盗号木马(第2版)
- 今天机器中了病毒:Trojan.PSW.Lmir.pj.enc
- 遭遇Trojan.PSW.Lmir等病毒(第4版)
- 遭遇Trojan.PSW.Lmir.kyo、Trojan.DL.QQHelper等N多木马
- 今天机器中了病毒:Trojan.PSW.Lmir.pj.enc
- 清除盗游戏帐号的密西木马变种(Trojan.PSW.Misc.r)等
- 遭遇RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等
- 关于pagefile.pif(Trojan.PSW.Lmir.iux)病毒的解决
- 抓获Backdoor.Gpigeon.voo和Trojan.PSW.OnlineGames.xd等盗号木马
- 遭遇Trojan.PSW.Lmir.lkh、Trojan.PSW.WoWar.qd、Trojan.Agent.kh0等
- 遭遇木马Trojan.PSW.ZhengTu.dm、Trojan.PSW.LMir.atb
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2
- 广告程序“揭发”传奇网游盗号木马等
- 遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马
- 01-29/劫持浏览器并弹广告的Trojan.Clicker.VB.ajn正通过QQ信息中的网址传播/第2版
- 又一位网友中了Viking,Trojan.PSW.OnLineGames.abo,Trojan.PSW.SBoy.b等
- 遭遇Trojan.PSW.OnlineGames、Trojan.HiJack.a、Trojan.PSW.ZhuXian.b等
- 盗号木马Trojan-PSW.Win32.OLGame.vdh
- 盗取QQ密码的Trojan.PSW.QQPass.rky正通过QQ信息中的网址传播
- Trojan.PSW.Jianghu.ak分析报告