又一位网友中了Viking Trojan PSW OnLineGames abo Trojan PSW SBoy b等

               

endurer 原创
2007-04-04 第1

昨晚,一位网友说,他的电脑工作速度很慢,浏览网页时自动弹广告,让偶帮助检查一下。

让他先用HijackThis(可到http://endurer.ys168.com下载)扫描log传过来一看,估计是Viking了。

让他传了几个可疑文件过来。

同时到江民网站下载了Viking专杀工具传给网友查杀,果然清除了一些。

又将pe_xscan、ProcView(可到http://endurer.ys168.com下载)、IceSword(可到http://endurer.ys168.com下载)传了过去。

通过在线网页分析网友传回的pe_xscan的log,发现可疑项目:
/===
pe_xscan 07-03-17 by Purple Endurer
2007-4-3 22:38:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/WINDOWS/System32/svchost.exe * 892
    c:/windows/system32/bxwhj.dll
    c:/program files/iesnap/navoct.dll | 2007-3-12 10:28:46
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/WINDOWS/system32/EXPLORER.EXE * 1520 | 2006-10-25 8:32:36
    C:/WINDOWS/system32/EXPLORER.EXE | 2006-10-25 8:32:36
    C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk | 2007-4-3 11:44:24
    C:/WINDOWS/system32/winform.dll | 2007-4-3 11:44:26
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    c:/windows/system32/bxwhj.dll
C:/WINDOWS/Explorer.EXE * 1548
    C:/PROGRA~1/WinKld/Winkld.dat | 2006-4-30 15:18:52
    C:/PROGRA~1/gxcj/hydk.nls | 2007-4-2 17:45:12
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/Program Files/superutilbar/superutilbar.dll | 2007-3-19 9:44:48
    C:/Documents and Settings/Administrator/Application Data/Foxy/LinkMaker.dll | 2006-12-24 13:34:50
C:/WINDOWS/VM_STI.EXE * 1744 | 2005-2-28 17:53:4
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/WINDOWS/system32/ctfmon.exe * 1836
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/WINDOWS/system32/rundll32.exe * 288
    C:/PROGRA~1/bvxe/ofkr.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/tkpw.dll | 2007-4-2 17:7:24
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/WINDOWS/system32/nvsvc32.exe * 440 | 2005-12-10 3:6:0
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
c:/PROGRA~1/iesnap/navplay.exe * 2204 | 2007-3-12 10:28:22
    c:/PROGRA~1/iesnap/navplay.exe | 2007-3-12 10:28:22
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/Program Files/Internet Explorer/iexplore.exe * 1380 | 2004-8-17 20:0:0
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    C:/Program Files/superutilbar/superutilbar.dll | 2007-3-19 9:44:48
    c:/PROGRA~1/iesnap/navpref.dll | 2007-3-12 10:28:8
    c:/PROGRA~1/iesnap/navseg.dll | 2007-3-12 10:28:12
    c:/PROGRA~1/iesnap/navneg.dll | 2007-3-12 10:28:20
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/WINDOWS/system32/conime.exe * 2764
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/Program Files/QQ2006/QQ.exe * 5340 | 2006-5-9 17:23:22
    C:/WINDOWS/system32/baqftx.dll | 2007-4-3 11:44:26
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/Program Files/QQ2006/TIMPlatform.exe * 6124 | 2006-4-25 16:13:36
    c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
    C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
    C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
wsctf.exe * 4508

F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:/PROGRA~1/Yahoo!/ASSIST~1/Assist/YDRAGS~1.DLL (file missing)

O2 - BHO: 实用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:/Program Files/superutilbar/superutilbar.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: 实用搜索工具条2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:/Program Files/superutilbar/superutilbar.dll

O4 - HKCR/../Run: [BSserver] FileKan.exe
O4 - HKCR/../Run: [foxy] "C:/Program Files/摩力游下载器/Foxy.exe" -tray
O4 - HKCR/../Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCR/../Run: [wsctf.exe] wsctf.exe
O4 - HKCR/../Run: [5ikbi] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/winlog0n.exe
O4 - HKCR/../Run: [mq2j0v88lr8b] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/rundl132.exe
O4 - HKCR/../Run: [16jt8321q] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/iexpl0re.exe
O4 - HKLM/../Run: [ASocksrv] SocksA.exe
O4 - HKLM/../Run: [BigDogPath] C:/WINDOWS/VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM/../Run: [System] C:/Program Files/Common Files/System/Updaterun.exe
O4 - HKLM/../Run: [winform] C:/WINDOWS/winform.exe
O4 - HKLM/../Run: [nrauax] C:/WINDOWS/system32/baqftx.exe
D:/autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell/Auto/command=sxs.exe
-----/
E:/autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell/Auto/command=sxs.exe
-----/
F:/autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell/Auto/command=sxs.exe
-----/
O8 - IE右键菜单附加项 : Foxy 下载 - res://C:/Program Files/摩力游下载器/Foxy.exe/download.htm
O8 - IE右键菜单附加项 : Foxy 搜索 - res://C:/Program Files/摩力游下载器/Foxy.exe/search.htm
O21 - SSODL - SysTime(88Dog.Kalendar) - {724C75F1-B757-408D-A50A-4CF99DA35D73} = C:/PROGRA~1/WinKld/WinKld.dll
O21 - SSODL - hydk(Windows hydk Theme) - {7FCA49CC-AC89-473E-98EC-A62AFBDCA32A} = C:/PROGRA~1/gxcj/hydk.dll

O23 - 服务: Investor (Remote Route Service) - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/bxwhj.dll | Microsoft(R) Windows(R) Operating System | 5.1.2600.0 | szdj | Copyright (C) Microsoft Corporation 1990-2000 | 5.1.2600.0 | Microsoft Corporation| ? | szdj | szdj.dll(自动)
O23 - 服务: jafm (Std jafm Service) - C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/bvxe/ofkr.dll,Service -s(自动)
O23 - 服务: Navoct () - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/Program Files/iesnap/navoct.dll | 2007-3-12 10:28:46 | NAVOCT | 1, 0, 1, 1 | NAVOCT Module | Copyright 2006 | 1, 0, 1, 1 |   |  | NAVOCT | NAVOCT.DLL(自动)

O23 - 服务: SOCEESe (Indexing Data) - C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL,Export 1087(自动)

O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk

SHOWALL    Type isn't dowrd
===/


使用ProcView和IceSword终止进程:

C:/WINDOWS/system32/EXPLORER.EXE
C:/WINDOWS/system32/wsctf.exe
C:/WINDOWS/system32/algsrv.exe
C:/WINDOWS/system32/baqftx.exe
C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE

用WinRAR删除d、e、f盘下的 autorun.inf 和 sxs.exe。在c盘下发现 tel.xls.exe。

用HijackThis修复 F2--O21,删除O23

用瑞星卡卡安全助手卸载 O24

卸载:实用搜索

重启电脑到安全模式下

删除文件:

C:/Documents and Settings/Administrator/LOCALS~1/Temp/LgSy0.dll
C:/Documents and Settings/Administrator/LOCALS~1/Temp/Rav20.dll
C:/Documents and Settings/Administrator/LOCALS~1/Temp/winlog0n.exe
C:/Documents and Settings/Administrator/Temp/rundl132.exe
C:/Documents and Settings/Administrator/Temp/iexpl0re.exe
C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk
C:/Program Files/Common Files/System/Updaterun.exe
C:/WINDOWS/system32/baqftx.dll
C:/WINDOWS/system32/baqftx.exe
c:/windows/system32/bxwhj.dll
c:/windows/system32/EXPLORER.EXE
C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL
C:/WINDOWS/winform.exe
C:/WINDOWS/system32/winform.dll
c:/windows/system32/wsctf.dll
c:/windows/system32/wsctf.exe
C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL
FileKan.exe(一般是在C:/WINDOWS/system32下)
SocksA.exe(一般是在C:/WINDOWS/system32下)

删除文件夹:
C:/Documents and Settings/Administrator/Application Data/Foxy
c:/program files/bvxe
c:/program files/gxcj
c:/program files/iesnap
c:/program files/WinKld
C:/Program Files/superutilbar

用开始-->程序-->附件-->系统工具-->磁盘清理 来清理C盘

用WinRAR 清空 c:/windows/prefetch

参考:【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.blogchina.com/2590659.html
来修复:SHOWALL    Type isn't dowrd

文件说明符 : D:/test/sxs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 23:25:37
修改时间 : 2007-4-3 23:26:3
访问时间 : 2007-4-4 20:49:25
大小 : 37725 字节 36.861 KB
MD5 : 25f7ddf928dcb04b51987d7e4bdde809

baqftx.exe与此相同。

Kaspersky 报为 Trojan-PSW.Win32.QQPass.se,瑞星 报为 Trojan.PSW.QQPass.rdr

文件说明符 : D:/test/tel.xls.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 2.00
说明 :
版权 :
备注 :
产品版本 : 2.00
产品名称 : FireWall Files
公司名称 : Microsoft Corp.
合法商标 :
内部名称 : test
源文件名 : test.exe
创建时间 : 2007-4-3 23:20:40
修改时间 : 2007-4-3 23:20:52
访问时间 : 2007-4-4 20:49:54
大小 : 69632 字节 68.0 KB
MD5 : 40dbf5d5f83400a1901b9a7f8d294d5e
algsrv.exe与tel.xls.exe相同。

Kaspersky 报为 Trojan.Win32.VB.atg,瑞星 报为 Trojan.VB.vtj

文件说明符 : D:/test/NewInfo.rxk
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:57:40
修改时间 : 2007-4-3 22:57:45
访问时间 : 2007-4-4 20:54:18
大小 : 27301 字节 26.677 KB
MD5 : 69e32435d00cff4f8ca09059e5dc6bfc

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc,瑞星 报为 Trojan.PSW.Liumazi.kr

文件说明符 : D:/test/wsctf.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.2600.2180
说明 : Generic Host service for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 : Generic Host service for Win32 Services
产品版本 : 5.2600.2180
产品名称 : Microsoft  Windows  Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wsctf
源文件名 : wsctf.exe
创建时间 : 2007-4-3 22:14:24
修改时间 : 2007-4-3 22:14:28
访问时间 : 2007-4-4 20:58:20
大小 : 24576 字节 24.0 KB
MD5 : cbdcf0ab0561540891a3e466147a4ce4

Kaspersky 报为 Virus.Win32.VB.bu,瑞星 报为 Trojan.PSW.SBoy.b

文件说明符 : D:/test/winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:14:3
修改时间 : 2007-4-3 22:14:15
访问时间 : 2007-4-4 21:2:17
大小 : 17920 字节 17.512 KB
MD5 : 72cf3bc3a233ec373303de7a81dd4051

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es,瑞星 报为 Trojan.PSW.OnlineGames.aas

文件说明符 : D:/test/winlog0n.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:11:55
修改时间 : 2007-4-3 22:13:8
访问时间 : 2007-4-4 21:5:10
大小 : 33690 字节 32.922 KB
MD5 : 4cb1851156c0b3f6dda4092462f57222

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kw,瑞星 报为 Trojan.PSW.OnLineGames.abo

文件说明符 : D:/test/iexpl0re.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:12:59
修改时间 : 2007-4-3 22:13:17
访问时间 : 2007-4-4 21:6:58
大小 : 52736 字节 51.512 KB
MD5 : 05366f5d07a2a45b3d076f4a27f21a74

文件说明符 : D:/test/rundl132.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:9:56
修改时间 : 2007-4-3 22:12:10
访问时间 : 2007-4-4 21:16:20
大小 : 33244 字节 32.476 KB
MD5 : dfd16dbc703e1359c22dffaf91251738

文件说明符 : D:/test/Updaterun.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:32:4
修改时间 : 2007-4-3 22:32:16
访问时间 : 2007-4-4 21:28:56
大小 : 36864 字节 36.0 KB
MD5 : 42d61fba39892131e0c81472d291bc61 

           

再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值