endurer 原创
2006-08-16 第1版
有一位网友电脑这几天瑞星总报告发现RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等病毒,请偶帮忙看看。
先运行瑞星注册表修复工具,没有发现被修改的项目。
然后检查瑞星的杀毒历史,打开瑞星注窗口,发现瑞星病毒库还是8月10日的,立即升级。再检查瑞星的定时升级设置,升级频率居然是一个星期,改成每天一次。
瑞星升级完成后,查杀内存、引导区和C盘。
同时到 http://endurer.ys168.com 下载 HijackThis扫描log,未发现可疑项目。
用WinRAR检查c:/、c:/windows、c:/windows/debug,c:/windows/Downloaded Program Files、c:/windows/system32、c:/windows/temp、c:/Documents and Settings/abc/LOCAL Settings/Temp、c:/program files、c:/program files/Internet Explorer、d:/等文件夹,发现可疑文件:
/-------------
c:/windows/Hacker.com.cn.exe
c:/windows/setup1.exe
-------------/
极可能是灰鸽子,打包备份后删除。
瑞星扫描结果如下:
/-------------
RootKit.Vanti.kn 删除成功 2006-08-15 20:44 文件监控 C:/DOCUME~1/abc/LOCALS~1/Temp ud2aniap.dll
RootKit.Vanti.kn 删除成功 2006-08-15 20:45 文件监控 C:/DOCUME~1/abc/LOCALS~1/Temp ud2aniap.dll
Trojan.DL.Delf.cop 删除成功 2006-08-15 20:48 文件监控 C:/DOCUME~1/abc/LOCALS~1/Temp hh.exe
Trojan.PSW.LMir.ktn 删除成功 2006-08-15 20:50 文件监控 C:/DOCUME~1/abc/LOCALS~1/Temp foxrar.exe
Trojan.PSW.LMir.ktn 删除成功 2006-08-15 20:53 文件监控 C:/Documents and Settings/abc/Local Settings/Temp Win1A29.exe
Trojan.PSW.WoWar.hq 删除成功 2006-08-15 21:06 文件监控 C:/WINDOWS/SYSTEM32 mywow.dll
Trojan.PSW.ZhengTu.ee 删除成功 2006-08-15 21:06 文件监控
C:/WINDOWS/SYSTEM32 myztr.dll
Trojan.PSW.JHOnline.eqo 重新启动计算机后删除文件 2006-08-15 21:07 文件监控 C:/WINDOWS/SYSTEM32 SYSTEMA.DLL
Trojan.PSW.JHOnline.eqo 重新启动计算机后删除文件 2006-08-15 21:07 文件监控 C:/WINDOWS/system32 systema.dll
Trojan.PSW.JHOnline.eqo 重新启动计算机后删除文件 2006-08-15 21:07 文件监控 C:/WINDOWS/system32 systema.dll
Trojan.PSW.JHOnline.eqo 重新启动计算机后删除文件 2006-08-15 21:07 文件监控 C:/WINDOWS/system32 systema.dll
Trojan.PSW.JHOnline.eqo 重新启动计算机后删除文件2006-08-15 21:07 文件监控 C:/WINDOWS/system32 systema.dll
Trojan.PSW.WoWar.hq 删除成功 2006-08-15 21:13 文件监控 C:/WINDOWS/system32 Launcher.exe
Trojan.PSW.WoWar.hq 删除成功 2006-08-15 21:13 文件监控 C:/WINDOWS/system32 systemd.exe
Trojan.PSW.ZhengTu.ee 删除成功 2006-08-15 21:13 文件监控 C:/WINDOWS/system32 systemb.exe
Trojan.PSW.JHOnline.eqo 重新启动计算机后删除文件2006-08-15 22:15 文件监控 C:/WINDOWS/system32 systema.dll
-------------/
其中病毒,Trojan.PSW.JHOnline.eqo瑞星无法直接清除。
到 http://endurer.ys168.com 下载 ProcView 、IceSword 和 Auto_Del。用 ProcView 导出进线列表,发现 C:/WINDOWS/system32/systema.dll 插入了多个进程,用 IceSword 处理了几个进程,感觉速度太慢。
运行Auto_Del.exe,把 C:/WINDOWS/system32/systema.dll 加入待删文件列表,点击“改所有文件名”和“下次启动财删除”按钮。
瑞星的注册表监控会提示Auto_Del.exe要修改注册表,选择“允许”,点击“确定”。
那么 C:/WINDOWS/system32/systema.dll 是如何启动的呢?
使用 HijackThis 扫描生成启动项列表,我们发现:
/--------------------------------------------------
StartupList report, 2006-8-15, 22:18:26
StartupList version: 1.52.2
Enumerating Windows NT/2000/XP services
Enumerating Windows NT logon/logoff scripts:
*No scripts set to run*
Windows NT checkdisk command:
BootExecute = autocheck autochk *
Windows NT 'Wininit.ini':
PendingFileRenameOperations: C:/WINDOWS/system32/systema.dll||C:/WINDOWS/system32/systema.dll.del
--------------------------------------------------/
这应该是瑞星设置用来在重新启动计算机后删除文件的。
打开注册表编辑器,搜索“systema.dll”,发现四处:
1、
/****************
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/CLSID/{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}/InProcServer32]
@="C://WINDOWS//system32//systema.dll"
"ThreadingModel"="Apartment"
****************/
2、
/****************
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/CLSID/{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}/InProcServer32]
@="C://WINDOWS//system32//systema.dll"
"ThreadingModel"="Apartment"
****************/
3、
/****************
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Control/Session Manager]
"PendingFileRenameOperations"=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,/
57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,/
00,6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,/
64,00,6c,00,6c,00,00,00,00,00,5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,/
00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,/
6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,64,/
00,6c,00,6c,00,2e,00,64,00,65,00,6c,00,00,00,00,00,00,00
****************/
4、
/****************
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session Manager]
"PendingFileRenameOperations"=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,/
57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,/
00,6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,/
64,00,6c,00,6c,00,00,00,00,00,5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,/
00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,/
6d,00,33,00,32,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,61,00,2e,00,64,/
00,6c,00,6c,00,2e,00,64,00,65,00,6c,00,00,00,00,00,00,00
****************/
其中1、2是systema.dll的借以启动的,而3、4是瑞星用来在重新启动计算机后删除文件的。