遭遇Viking新变种、传奇、魔兽盗号木马等(第3版)

最新推荐文章于 2022-07-16 19:34:55 发布

紫郢剑侠

最新推荐文章于 2022-07-16 19:34:55 发布

阅读量6k

点赞数

分类专栏：系统安全文章标签： file internet c 360 bbs ie

本文链接：https://blog.csdn.net/Purpleendurer/article/details/1327740

版权

系统安全专栏收录该内容

370 篇文章 2 订阅

订阅专栏

endurer 原创

2006-10-13 第3版补充 Kaspersky 对偶未上报的文件的反应

2006-10-09 第2版补充 Kaspersky 的反应

2006-10-09 第1版

一位网友，新买的机子，没用两天就喊慢，让我帮忙检查。

开机进入桌面后，系统失去响应，好不容易打开任务管理器一看，CPU占用率并不高，但内存占用奇高，想正常关机都不行。

强行重启到带网络的安全模式，到 http://endurer.ys168.com 下载 HijackThis 扫描 log，发现如下可疑项：

Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:/WINDOWS/Logo1_.exe

C:/Program Files/Internet Explorer/3Sy.exe

F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe

O1 - Hosts: 219．139．58．97 www．hao123．com
O1 - Hosts: 219．139．58．97 hao123．com
O1 - Hosts: 219．139．58．97 www．7b．com．cn
O1 - Hosts: 219．139．58．97 7b．com．cn
O1 - Hosts: 219．139．58．97 www．7939．com
O1 - Hosts: 219．139．58．97 www．maohehe．com
O1 - Hosts: 219．139．58．97 www．sina-baidu．com
O1 - Hosts: 219．139．58．97 sina-baidu．com
O1 - Hosts: 219．139．58．97 www．maipao．com
O1 - Hosts: 219．139．58．97 update．virussky．com
O1 - Hosts: 219．139．58．97 down．virussky．com
O1 - Hosts: 219．139．58．97 www．ycdy．com
O1 - Hosts: 219．139．58．97 ycdy．com
O1 - Hosts: 219．139．58．97 www．2tu．cn
O1 - Hosts: 219．139．58．97 2tu．cn
O1 - Hosts: 219．139．58．97 www．91tu．cn
O1 - Hosts: 219．139．58．97 91tu．cn
O1 - Hosts: 219．139．58．97 www．haotop．com
O1 - Hosts: 219．139．58．97 news01．virussky．com
O1 - Hosts: 219．139．58．97 news02．virussky．com
O1 - Hosts: 219．139．58．97 news03．virussky．com
O1 - Hosts: 219．139．58．97 news04．virussky．com
O1 - Hosts: 219．139．58．97 www．an85．com
O1 - Hosts: 219．139．58．97 an85．com
O1 - Hosts: 219．139．58．97 www．360safe．com
O1 - Hosts: 219．139．58．97 360safe．com
O1 - Hosts: 219．139．58．97 dl．360safe．com
O1 - Hosts: 219．139．58．97 bbs．360safe．com
O1 - Hosts: 219．139．58．97 www．gao58．com
O1 - Hosts: 219．139．58．97 count18．51yes．com
O1 - Hosts: 219．139．58．97 www．ok538．com
O1 - Hosts: 219．139．58．97 www．3000sss．com
O1 - Hosts: 219．139．58．97 3000sss．com
O1 - Hosts: 219．139．58．97 www．qq658．com
O1 - Hosts: 219．139．58．97 www．53679．com
O1 - Hosts: 219．139．58．97 www．17587．net
O1 - Hosts: 219．139．58．97 www．17587．com
O1 - Hosts: 219．139．58．97 www．an188．com
O1 - Hosts: 219．139．58．97 cwzwxm．3322．org
O1 - Hosts: 219．139．58．97 www．onediy．net
O1 - Hosts: 219．139．58．97 sohu．fswan．com
O1 - Hosts: 219．139．58．97 www．hewdq．com
O1 - Hosts: 219．139．58．97 go．ipcenter．cn
O1 - Hosts: 219．139．58．97 www．32666．com
O1 - Hosts: 219．139．58．97 show．googleadsenseagent．com
O1 - Hosts: 219．139．58．97 www．2yin．cn
O1 - Hosts: 219．139．58．97 2yin．cn
O1 - Hosts: 219．139．58．97 www．84442．com
O1 - Hosts: 219．139．58．97 www．898333．com
O1 - Hosts: 219．139．58．97 hewdq．com
O1 - Hosts: 219．139．58．97 84442．com
O1 - Hosts: 219．139．58．97 wwww．systeel．com．cn
O1 - Hosts: 219．139．58．97 go．baibaoxiang．cn
O1 - Hosts: 219．139．58．97 www．btbaicai．com
O1 - Hosts: 219．139．58．97 btbaicai．com
O1 - Hosts: 219．139．58．97 www．2t2t．cn
O1 - Hosts: 219．139．58．97 2t2t．cn
O1 - Hosts: 219．139．58．97 3．a．kal．cn
O1 - Hosts: 219．139．58．97 www．222978．com
O1 - Hosts: 219．139．58．97 www．5yaowan．com
O1 - Hosts: 219．139．58．97 show．roogoo．com
O1 - Hosts: 219．139．58．97 ip．alexaanywhere．com

O3 - Toolbar: SearchCar - {BD328E49-38AB-42CB-8EEA-73AA4CD2A6FD} - C:/Program Files/SearchCar/SearchCar.dll

O4 - HKLM/../Run: [qcsszjcz] d:/chenqxms.exe

O4 - HKLM/../Run: [R] C:/WINDOWS/system32/rundll32.exe msprt.dll s

O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll
O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll

从 http://endurer.ys168.com 下载 ProcView 终止进程：
/----------
C:/WINDOWS/Logo1_.exe
C:/Program Files/Internet Explorer/3Sy.exe
----------/

到瑞星网站下载注册表修复工具检修文件关联。

用WinRAR检查下列文件夹中的文件

c:/
------------
drsmartload.exe（Kaspersky 报为 Trojan-Downloader.Win32.Adload.gf，DrWeb 报为 Trojan.DownLoader.13572）
MTE3NDI6ODoxNgV2.exe（Kaspersky 报为 Trojan-Downloader.Win32.Agent.azc）

c:/windows 和 c:/windows/system32
-------------
winampa.exe（Kaspersky 报为 Trojan.Win32.Agent.tl，DrWeb 报为 Trojan.DownLoader.12870）
nmhxy.dll（Kaspersky 报为 Trojan-PSW.Win32.Agent.iu，DrWeb 报为 Trojan.PWS.Legmir.602）
nmhxy.exe（Kaspersky 报为 Trojan-PSW.Win32.Agent.iu，DrWeb 报为 Trojan.PWS.Legmir.602）
0.exe（Kaspersky 报为 Trojan.Win32.Qhost.ic，DrWeb 报为 Trojan.Qhost）
mvlib.dll（Kaspersky 报为 Trojan.Win32.BCB.i，DrWeb 报为 Win32.HLLW.MyBot）
jxdll.dll（Kaspersky 报为 Trojan-PSW.Win32.Delf.hh）
myrx.dll（Kaspersky 报为 Trojan-PSW.Win32.Agent.ia）
mywow.dll（Kaspersky 报为 Trojan-PSW.Win32.WOW.jw）
myztr.dll（Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.v）
ss3.exe
WSD_SOCK32.dll（Kaspersky 报为 Trojan-PSW.Win32.Agent.if）
xia.exe（Kaspersky 报为 Worm.Win32.Viking.ax）
rundl132.exe（注意：32前面的是数字1。Kaspersky 报为 Worm.Win32.Viking.ax）
rundll.exe
msprt.dll（Kaspersky 报为 Trojan.Win32.BCB.i）
Logo1_.exe（Kaspersky 报为 Email-Worm.Win32.Viking.ax）

c:/progam files/internet explorer
-------------
0Sy.exe（Kaspersky 报为 Trojan-PSW.Win32.Lineage.amd，DrWeb 报为 Trojan.PWS.Gamania）
4Sy.exe（Kaspersky 报为 Trojan-PSW.Win32.Delf.hh，DrWeb 报为 Trojan.PWS.Lineage）
internat3.exe（Kaspersky 报为 Trojan-PSW.Win32.WOW.gq）
internat5.exe（Kaspersky 报为 Trojan-Downloader.Win32.Agent.axg，DrWeb报为 Trojan.DownLoader.13331）
iedw.exe（Kaspersky 报为 Trojan.Win32.Agent.zl，DrWeb 报为 Trojan.Starter.84）

系统临时文件夹
-------------
temp.exe（Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.ft）
setup_wm.exe(Kaspersky 报为 Trojan.Win32.Agent.zl，DrWeb 报为 Trojan.DownLoader.12618)

IE临时文件夹
-------------
maaa2.exe（Kaspersky 报为 Worm.Win32.Detnat.e）

c:/windows/system32/drivers
-------------
modrl.sys（Kaspersky 回复“no malicious code was found in this file”，DrWeb 报为 Trojan.PWS.Hert，瑞星报为 Rootkit.CallGat.gen）

清空IE临时文件夹和系统临时文件夹

打开注册表编辑器，先备份注册表，然后搜索包含rundl132.exe（注意：32前面的是数字1）的项目并删除。

从 http://endurer.ys168.com 下载并运行 LSPFix，选中选项“I Know What I'm Doing”，然后把左面窗口里的 wsd_sock32.dll 文件移到右面窗口里（不要动其他文件），然后选“Finish”。

关闭所有IE窗口和文件夹窗口，运行Hijackthis扫描并修复上列项目。