07-19 解决灰鸽子新变种 Rootkit Vanti gen等及www 58111 com劫持第5版

最新推荐文章于 2021-02-09 16:32:16 发布

画面太乱了

最新推荐文章于 2021-02-09 16:32:16 发布

阅读量1.4k

点赞数

本文链接：https://blog.csdn.net/gdfyug/article/details/87603382

版权

endurer　原创

2006-07-19　第5版　补充杀毒软件的反应。
2006-07-17　第4版　补充杀毒软件的反应。
2006-07-14　第3版　补充杀毒软件的反应。
2006-07-13　第2版　补充杀毒软件的反应，在该网友电脑的其它盘发现的恶意程序。
2006-07-12　第1版

　　昨天有网友说他的电脑中的瑞星每次开机自动扫描总是报告发现灰鸽子，实时监控总发现并成功删除Rootkit.Vanti.gen的文件C:/WINDOWS/Tempkqmbz78.dll。

如：
--------------------------------------------------------------------
07-11
病毒名称                        处理结果    扫描方式路径文件
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll
Exploit.VBS.Phel.z              跳过脚本    网页/脚本监控C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp375264042664.tmp
Exploit.VBS.Phel.z              重新启动计算机后删除文件文件监控C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/H9CE4RPYbbs[1].htm
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll
Trojan.DL.Small.mjr             删除成功    文件监控C:/System Volume Information/_restore{E636C2E6-57A1-4711-9BF0-6BE15D9B34BF}/RP26A0007562.dll
Rootkit.Vanti.gen               删除成功    文件监控C:/WINDOWS/Tempkqmbz78.dll

--------------------------------------------------------------------

并且IE首页被强行设置为 hxxp://www.58111.com。

通过QQ远程协助，先到http://endurer.ys168.com下载了HijackThis和“下次启动时自动删除文件”程序（Auto_del.rar）。

使用HijackThis扫描简明log，发现如下可疑项目：

--------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 20:46:10, on 2006-7-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:/WINDOWS/system32/ssup.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:/WINDOWS/system32/HelperService.dll
O3 - Toolbar: 系统标准按钮(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:/WINDOWS/system32/SystemToolbar.dll

O23 - Service: System Event Log Service (SystemLog) - ＷＷＷ.ＨＵＩＧＥＺＩ.ＮＥＴ - C:/WINDOWS/system32/shellext/services.exe
O23 - Service: Windows XP Vista - Unknown owner - C:/WINDOWS/fish.exe

--------------------------------------------------------------------

修复过程如下（相关操作方法可参考：【系统修复系列之】基本操作索引 ）：

1、停止并禁用系统服务：

System Event Log Service (SystemLog)
Windows XP Vista

2、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Service，找到并删除 System Event Log Service (SystemLog) 和 Windows XP Vista 子键。

3、使用WinRAR找到下列文件并打包备份，并删除：

C:/WINDOWS/system32/ssup.dll
C:/WINDOWS/system32/HelperService.dll
C:/WINDOWS/system32/SystemToolbar.dll
C:/WINDOWS/system32/shellext/services.exe
C:/WINDOWS/fish.exe

／******************************************************************
07-13　第2版补充：
Kaspersky将 services.exe 和 fish.exe 报为 Backdoor.Win32.Hupigon.btb

主　题：	病毒上报邮件分析结果－流水单号:2969997
发件人：	"" ＜send@rising.net.cn＞	发送时间：2006-07-13 20:39:41

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：fish.exe
    病毒名： Backdoor.Gpigeon.zjn
    我们将在较新的18.35.40版本中处理解决，请您届时将您的瑞星软件升级到18.35.40版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

主　题：	病毒上报邮件分析结果－流水单号:2970004
发件人：	"" ＜send@rising.net.cn＞	发送时间：2006-07-13 20:49:54

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：services.exe
    病毒名： Backdoor.Gpigeon.ziu

    我们将在较新的18.35.40版本中处理解决，请您届时将您的瑞星软件升级到18.35.40版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。
******************************************************************／

／******************************************************************
07-17　第4版补充：
Kaspersky将 SystemToolbar.dll 报为 Trojan-Clicker.Win32.Delf.dn

******************************************************************／

／******************************************************************
07-19　第5版补充：
Kaspersky将 HelperService.dll 报为 not-a-virus：AdWare.Win32.Delf.g

******************************************************************／

4、关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描，在上列可疑项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）。

5、另外在C:/发现可疑文件 internat.exe, infoser.hta 和 autoexec.com，也用WinRAR打包备份，并删除。

／******************************************************************
07-13　第2版补充：
Kaspersky将 internat.exe 报为 Trojan-Downloader.Win32.Delf.aqv
Kaspersky将 AUTOEXEC.com 报为 Trojan-Downloader.Win32.Small.dfh
******************************************************************／

／******************************************************************
07-17　第4版补充：

主　题：	病毒上报邮件分析结果－流水单号:2970024
发件人：	"" ＜send@rising.net.cn＞	发送时间：2006-07-17 17:36:42

尊尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：AUTOEXEC.COM
    病毒名： Trojan.DL.Small.mse

    2.文件名：infoser.hta
    不是病毒

    3.文件名：internat.exe
    病毒名： Trojan.DL.Direct.u

    我们将在较新的18.36.2版本中处理解决，请您届时将您的瑞星软件升级到18.36.2版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

******************************************************************／

6、清空IE临时文件夹和Windows临时文件夹（c:/windows/temp）

7、关闭系统还原功能再打开。

8、使用瑞星注册表修复工具，把IE首页修复为about:blank。

9、使用Kaspersky的在线扫描功能扫描C盘，又发现一个：

C:/Program Files/Internet Explorer/PLUGINS/new123.sys Infected: Trojan-PSW.Win32.QQGame.m skipped

／******************************************************************
07-14第3版补充：

主　题：	病毒上报邮件分析结果－流水单号:2978259
发件人：	""＜send@rising.net.cn＞	发送时间：2006-07-14 20:26:10

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：new123.sys
    病毒名：Trojan.PSW.QQPass.pmo

    我们将在较新的18.36.0版本中处理解决，请您届时将您的瑞星软件升级到18.36.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。******************************************************************／

也用WinRAR打包备份，但无法直接删除，运行“下次启动时自动删除文件”程序auto_del.exe，把new123.sys从WinRAR窗口拖到auto_del窗口，点击“改所有文件名”和“下次启动时删除”按钮。

　　今天中午，该网友在QQ上说，今天瑞星不再捍示发现灰鸽子和Rootkit.Vanti.gen了。他用 Kaspersky的在线扫描功能扫描其它盘，又发现一些病毒：

---------------------------------------------------------

E:/Documents and Settings/Owner/Local Settings/Temporary Internet Files/Content.IE5/D8YUFA9D/open_01[1].js Infected: Trojan-Downloader.JS.IstBar.ai skipped
F:/Documents and Settings/Owner/Local Settings/Temporary Internet Files/Content.IE5/BKL9NCC8/wintest[1].js Infected: Trojan-Downloader.JS.IstBar.ai skipped
F:/Documents and Settings/j/Local Settings/Temp/kucosetupno3.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.Small.dav skipped
F:/Documents and Settings/j/Local Settings/Temp/kucosetupno3.exe WiseSFX: infected - 1 skipped
F:/Program Files/office/office/3721.exe Infected: Trojan-Clicker.Win32.VB.lc skipped
F:/Program Files/office/office/ad1.exe Infected: Trojan-Clicker.Win32.VB.lc skipped
F:/Program Files/office/office/ad3.exe Infected: Trojan-Clicker.Win32.VB.lc skipped
F:/Program Files/office/office/ad5.exe Infected: Trojan-Clicker.Win32.VB.lc skipped
F:/Program Files/office/office/system.exe Infected: Trojan-Clicker.Win32.VB.ma skipped
F:/Program Files/ftc/fygPlugins.exe Infected: Backdoor.Win32.Agent.abu skipped