强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

最新推荐文章于 2024-05-20 17:10:55 发布
最新推荐文章于 2024-05-20 17:10:55 发布
阅读量2k 收藏 1
点赞数
分类专栏: 系统维护 文章标签: firefox internet c structure windows service
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/2066040
版权

强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

endurer 原创
2008-01-25 第1

前几天,一位网友说最近他的电脑中的金山毒霸天天报告发现病毒,而且IE出现与

遭遇sqmapi32.dll,kvmxfma.dll,rarjdpi.dll,google.dll,a0b1.dll等
http://blog.csdn.net/Purpleendurer/archive/2007/11/07/1871409.aspx
http://endurer.bokee.com/6522203.html
http://blog.nnsky.com/blog_view_222833.html

相似的症状,即不定期弹广告窗口,打开任意网页顶都可能出现推荐FireFox的信息,让偶帮忙检修。

先检查金山毒霸的杀毒日志,摘录一段如下:

/---
风险程序 2008-01-19 14:51:36 C:/WINDOWS/system32/wbem/knqtybe0.dll Win32.Adware.AdMoke.js.604672 跳过,未处理 
风险程序 2008-01-19 14:51:36 C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLL Win32.Adware.MoKeADT.of.870400 跳过,未处理 
风险程序 2008-01-19 14:51:36 c:/windows/system32/azagxmbtwehqj.dll Win32.Adware.ejok.g.584192 跳过,未处理 
风险程序 2008-01-19 14:51:36 c:/windows/system32/ebbaozknpdtis.dll Win32.Adware.ejok.g.584192 跳过,未处理 
风险程序 2008-01-19 14:51:36 c:/windows/system32/OSWAEHKOS.DLL Win32.Adware.Admoke.fg.574976 跳过,未处理 
风险程序 2008-01-19 14:51:36 c:/windows/system32/rxjh_2.exe Win32.Adware.Adloader.m.106496 跳过,未处理
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/KNQTYBE.DLL Win32.Adware.AdMoke.js.604672 跳过,未处理 
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLL Win32.Adware.MoKeADT.of.870400 跳过,未处理 
风险程序 2008-01-18 12:27:46 c:/windows/system32/OSWAEHKOS.DLL Win32.Adware.Admoke.fg.574976 跳过,未处理 
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/KNQTYBE.DLL Win32.Adware.AdMoke.js.604672 操作失败 
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLL Win32.Adware.MoKeADT.of.870400 操作失败 
风险程序 2008-01-18 12:27:46 c:/windows/system32/OSWAEHKOS.DLL Win32.Adware.Admoke.fg.574976 操作失败  
---/

同时发现网友的电脑无法进行复制/粘贴操作,晕!

先到 http://endurer.ys168.com 下载 HijackThis 来分析罢,在 HijackThis 的log中发现如下可疑项:
/---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:58, on 2008-1-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O2 - BHO: google Class - {CE7C3CF0-4B15-11D1-ABED-709549C10531} - C:/WINDOWS/ILOVEG~1/google.dll
O2 - BHO: (no name) - {F89D750D-BDBB-4B04-B893-F2F228138F5F} - C:/WINDOWS/system32/doqeuraqsr.dll

O4 - HKCU/../Run: [PictureShow] "d:/program files/PictureShow/poco_tools.exe" -p PictureShow
O4 - HKCU/../Run: [PICer] "d:/program files/PICer/poco_tools.exe" -p PICer

O4 - HKLM/../Policies/Explorer/Run: [zhqbdf] rundll32.exe C:/WINDOWS/system/zhqbdf080116.dll mymain
O4 - HKLM/../Policies/Explorer/Run: [zsms] rundll32.exe C:/WINDOWS/system32/mcdsrv16_080119.dll start

O18 - Filter hijack: text/html - {CF845CF8-833D-4F3E-9579-8944159650A6} - C:/WINDOWS/system32/wbem/KNQTYBE.DLL
---/

关闭所有IE和文件夹窗口,修复~

http://purpleendurer.ys168.com 下载 FileInfo、bat_do对log中的可疑文件、毒霸报告但未清除的病毒文件的进行信息提取、打包和延时删除。

下载 DrWeb CureIt! 扫描,又发现并清除一批恶意程序。

重启电脑后,金山毒霸还是提示发现病毒……不过复制/粘贴功能恢复正常了。

用机子中原有的360卫士扫描,又十年干掉了两个恶意程序。

下载pe_xscan 扫描了 log 并分析,发现如下可疑项:
/===
pe_xscan 08-01-19 by Purple Endurer
2008-1-20 22:45:17
Windows XP Service Pack 2(5.1.2600)
管理员用户组

 
C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 364 
   C:/WINDOWS/SYSTEM32/OSWAEHKOS.DLL | 2007-10-1 11:46:2 
C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 1072 
   C:/WINDOWS/SYSTEM32/WBEM/TXAEILOTWZC.DLL | 2007-9-27 23:37:46


O23 - 服务: 2HRHUZB (2HRHUZB) -  SYSTEM32/DRIVERS/2HRHUZB.SYS (引导) 
O23 - 服务: DWSHD () - C:/WINDOWS/SYSTEM32/DRIVERS/DWSHD.SYS (禁用) 
O23 - 服务: NVCJRYFMT (EMVDMUCKSAIQYFO) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K VHTFSCNXITD -> C:/WINDOWS/SYSTEM32/OSWAEHKOS.DLL | 2007-10-1 11:46:2(自动) 
O23 - 服务: TWBFJMQUYCF (YBFJNRUYBGKNS) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K DHKOSWADHLOSXB -> C:/WINDOWS/SYSTEM32/WBEM/TXAEILOTWZC.DLL | 2007-9-27 23:37:46(自动) 
O23 - 服务: V8360NUJ1 (V8360NUJ1) -  SYSTEM32/DRIVERS/V8360NUJ1.SYS (引导) 
O23 - 服务: W32TIME (WINDOWS TIME) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K NETSVCS -> C:/WINDOWS/SYSTEM32/WBEM/KIPQNFVNX.DLL (自动)
===/

DWSHD.SYS 很可能是之前使用的 DrWeb CureIt! 释放的东东

Google了一下,在http://spywaredlls.prevx.com/RRIHDC43518690/DWSHD.SYS.html有如下说明:

Common File Name: DWSHD.SYS
Common Path: %TEMP%/RARSFX2/
Vendor Information: DrWeb Ltd.
Product Information: Dr.Web BruteForce driver
Version Information: 4.44.0.0
File Name Structure: Normal
File and Path Structure: Normal


还是用FileInfo、bat_do进行可疑文件的信息提取、打包和延时删除。

不过 2HRHUZB.SYS 无法操作,到 http://endurer.ys168.com 下载 IceSword,将它复制了一个打包备份后强制删除。

http://endurer.ys168.com 下载 瑞星杀毒助手Aide4Rav,使用瑞星在线免费扫描,结果如下:

2008-1-21 21:39:24 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
c:/windows/winudmp32.txt>>Aspack212r AdWare.Win32.Admoke.wcf
C:/WINDOWS/my_70338.exe Trojan.DL.Win32.Mnless.qp
C:/WINDOWS/tempaq Trojan.Win32.Undef.bpj
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/FKY8WICN/real[1].htm Hack.Exploit.Script.Small.g
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/C5I7CR8X/14[1].htm Trojan.DL.Script.JS.Agent.mav
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/C5I7CR8X/real[1].htm Hack.Exploit.Script.Small.ae
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/MVMXMRIT/06014[1].htm Trojan.DL.Script.Small.m
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/MVMXMRIT/dm[1].htm Hack.Exploit.Script.Small.aj
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/CF8VI5EH/614[1].htm Hack.Exploit.Script.Small.ak
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/yeSetup.exe Dropper.Win32.Agent.zbx
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/up.exe Trojan.Win32.Agent.vsw
c:/documents and settings/lenovo/doctorweb/quarantine/zhqb080116.exe>>upack0.36 Trojan.Win32.Undef.bqd
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/zhqbdf080116.#ll Trojan.Win32.KillAV.gfk

都用瑞星杀毒助手删除了。

打开注册表编辑器,删除O23的项目。

再次重启电脑,毒霸不再报告发现病毒了~


文件说明符 : C:/Windows/system32/wbem/TXAEILOTWZC.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-27 23:37:45
修改时间 : 2007-9-27 23:37:46
访问时间 : 2008-1-20 0:0:0
大小 : 1348096 字节 1.292 MB
MD5 : 03e1dfbc2bbfb4488364362e52a8fe36
SHA1: 25E83A402B7F5B8CA1B7C8EC07A86E37561E270F
CRC32: 62d46428

Kapsersky 报为 not-a-virus:AdWare.Win32.AdMoke.iu,瑞星报为 AdWare.Win32.Admoke.wck

文件说明符 : C:/Windows/system32/OSWAEHKOS.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-1 11:46:1
修改时间 : 2007-10-1 11:46:2
访问时间 : 2008-1-20 0:0:0
大小 : 574976 字节 561.512 KB
MD5 : cce5c15dc6b2c9d3ff3fc021e80d098e
SHA1: 36970B51D306F9DA24FE61945716C147881D300D
CRC32: 790bd6f4

Kapsersky 报为 not-a-virus:AdWare.Win32.AdMoke.oe,瑞星报为 Adware.Win32.Admoke.fg


文件说明符 : D:/test/2hrhuzb.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-25 21:38:16
修改时间 : 2008-1-21 21:23:16
访问时间 : 2008-1-25 0:0:0
大小 : 24512 字节 23.960 KB
MD5 : 66131e73690f2e2c3b618448fc7e7760
SHA1: FE39A85F838FB722E74CB11E6A5DB389817B55B3
CRC32: cff8780b

Kapsersky 报为 Trojan-Downloader.Win32.Hmir.rn,瑞星报为 RootKit.Win32.Mnless.ft 

紫郢剑侠
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
AntiRootkit工具-XueTr 吾爱破解论坛专版2010.11.30更新
12-26
一个强大的手工杀毒工具,支持32位的2000、xp、2003、vista、2008和Win7操作系统。 目前实现如下功能: 1.进程、线程、进程模块、进程窗口、进程内存、定时器、热键信息查看,杀进程、杀线程、卸载模块等功能 2.内核驱动模块查看,支持内核驱动模块的内存拷贝 3.SSDT、Shadow SSDT、FSD、KBD、TCPIP、Classpnp、Atapi、Acpi、SCSI、IDT、GDT信息查看,并能检测和恢复ssdt hook和inline hook 4.CreateProcess、CreateThread、LoadImage、CmpCallback、BugCheckCallback、Shutdown、Lego等Notify Routine信息查看,并支持对这些Notify Routine的删除 5.端口信息查看,目前不支持2000系统 6.查看消息钩子 7.内核模块的iat、eat、inline hook、patches检测和恢复 8.磁盘、卷、键盘、网络层等过滤驱动检测,并支持删除 9.注册表编辑 10.进程iat、eat、inline hook、patches检测和恢复 11.文件系统查看,支持基本的文件操作 12.查看(编辑)IE插件、SPI、启动项、服务、Host文件、映像劫持、文件关联、系统防火墙规则、IME 13.ObjectType Hook检测和恢复 14.DPC定时器检测和删除 15.MBR Rootkit检测和修复 16.内核对象劫持检测 17.WorkerThread枚举
网络安全期末复习 - 20190625
一清道长的个人博客
06-25 2431
1.not-a-virus:Adware.Win32.Agent.c not-a-virus 标明不是恶意程序,Adware标明是广告 注:主要有两种,一种是恶意程序,一种不是恶意程序,骚扰程序 注:两种情况 2.c语言转换成汇编怎么写: c: func(a,b,c); 汇编: push c push b push a call func 3.dll动态劫持,白加黑 DL...
内核木马:Win32.Rootkit.Rogue.Tzim查杀
CSDN1887的博客
09-19 3280
今天发现win8下存在Win32.Rootkit.Rogue.Tzim内核木马.常规使用QQ管家查出来的,以为杀了重启就好了,结果一次次被检出. 切换到win8安全模式,使用QQ急救箱查杀,杀了后,正常重启.还是被QQ管家检出. 然后换其他比如贝壳木马查杀,卡巴斯基的木马查杀,连病毒都没检出. 最后使用金山顽固病毒木马查杀,结果删除了.重启后QQ管家也没没检出. 虽然此软件说明不支持win8,但还...
Adware:Win32/FastSaveApp 清除
weixin_33861800的博客
03-07 171
不慎中了Adware:Win32/FastSaveApp,IE浏览器被感染。 IE浏览器打开任意网站,MSE均报告风险,网上有很多处理方法(比如会安装浏览器扩展程序,但我的并没发现),但尝试过都无效,它会伪装成不同文件名,最终使用adwcleaner清理掉。 通过Log发现被感染的文件 View Code ***** [Files / Folders] ***** Fo...
遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko
Purpleendurer@CSDN
05-19 4573
遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko endurer 原创2009-05-19 第1版 一位朋友的电脑最近出现了奇怪的毛病,请偶帮忙检修。打开电脑进入Windows桌面后,感觉电脑很卡,除了超级巡警窗口,打开其它窗口都像是不停地自动在进行前台程序和后台程序的切换
Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2
Purpleendurer@CSDN
07-16 1498
 Rootkit.Win32.KernelBot,RootKit.Win32.Mnless,Trojan.Win32.Patched,Backdoor.Win32.RWX等2endurer 原创2008-07-16 第1版(续1)log中的一些项目与 sichost.exe,winxphelp.exe,360up.exe,RavNT.exe,Counter.exe,login.jp
某县农业信息网挂马RootKit.Win32.Mnless,Trojan.Win32.Edog等
Purpleendurer@CSDN
02-02 1932
某县农业信息网挂马RootKit.Win32.Mnless,Trojan.Win32.Edog等endurer 原创2008-02-02 第1版打开该网站后IE失去响应……在该网站首页底部发现代码:/---<iframe src="hxxp://8**8.8*812**15.com/88.htm" width=0 height=0></iframe>---/1 hxxp://8**
解决灰鸽子变种、Rootkit.Win32.Vanti、Win32.Delf、Win32.Small等
Purpleendurer@CSDN
08-17 3155
endurer 原创2006-08-17 第1版一位网友的电脑,这两天瑞星开机扫描总报告发现Backdoor.Gpigeon.uql。如:/------------病毒名称 处理结果 发现日期 路径文件病毒来源Backdoor.Gpigeon.uql 清除成功  2006-08-15 18:08 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/
关于桌面程序被安全软件误判为HEUR:Trojan.Win32.Generic的解决方案
weixin_33831673的博客
06-25 6493
最近写了一个桌面程序,里面用了些读取系统环境变量、提取文件图标、启动外部程序之类的操作。 然后…………卡巴斯基就把它识别成了HEUR:Trojan.Win32.Generic………… 咱遵纪守法好程序,怎么说是木马就是木马了呢??? 然而问题就是问题,该解决还是得解决…… 在各种失败的尝试之后,试着把程序声明为需要管理员权限执行,结果……卡巴斯基不再动手了! 这什么原理………………_(:...
ARP.rar_Adware_C#广告_广告
09-24
刷广告插件不错的代码,值得下再,效果发好
dbg_x86_6.0.17.0.exe
04-17
dbg_x86_6.0.17.0.exe (的Win32内阁自解压)是一个可执行的软件微软( R ) Windows (注册商标) 2000操作系统版本6.0.0的微软公司。 dbg_x86_6.0.17.0.exe version 6.0.0 is most commonly found under the ...
BPS Spyware Adware Remover v9.4.0.6
03-13
软件介绍 帮助你防御以及快速清除各种间谍软件和广告软件,该工具还可以监视内存、阻止弹出菜单、管理启动项目列表等等,最大限度保证你的个人信息安全。 Tags: BPS Spyware Adware Remover
XnView-win-small.exe
10-25
XnView is an efficient multimedia viewer, browser and converter. Really simple to use! Support of more than 500 image formats500 image formats . No Adware, No Spyware
计算机网络安全的重要性.doc
06-10
本文从现代计算机常遇到的网络问题、计算机网络安全重要性、计算机网络安全的防 范措施等进行了详细阐述,以使广大用户在使用计算机网络时加强安全防范意识。 一.现代计算机常遇到的网络问题 1.解密攻击。在互联网上...
windows系统流氓软件太厉害卸载不掉怎么办?看我弄死它们
zhao126159的博客
05-05 7845
本文推荐windows系统中必备的强力卸载软件,通过这些软件可以强制卸载一些卸载不掉的流氓软件,让你的电脑免受流氓软件困扰
如何使用Docker快速运行Firefox并实现远程访问本地火狐浏览器
最新发布
sixpp的博客
05-20 3632
使用上面的Cpolar https公网地址,在任意设备的浏览器进行访问,即可成功看到我们火狐浏览器界面,这样一个公网地址且可以远程访问就创建好了,使用了cpolar的公网域名,无需自己购买云服务器,即可发布到公网进行远程访问!上面在本地成功部署了FireFox 火狐浏览器,并局域网访问成功,下面我们在Linux安装Cpolar内网穿透工具,通过cpolar 转发本地端口映射的http公网地址,我们可以很容易实现远程访问,而无需自己注册域名购买云服务器.下面是安装cpolar步骤。
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8747
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3157
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
linux和windows的应急响应的恶意进程和编码
05-22
Linux和Windows的应急响应中可能涉及到的恶意进程和编码如下: Linux恶意进程: 1. rootkit:一种能够隐蔽自身的恶意软件,...4. Rootkit:通过修改操作系统内核的方式来控制系统,比如修改系统调用表、隐藏进程等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值