endurer 原创
2006-08-01 第2版 补充杀毒软件的反应
2006-07-31 第1版
今早,一位网友的电脑,使用的是Windows XP SP2,进入Windows后,就弹出一个命令提示符窗口,提示尝试停止Windows防火墙。请我帮忙检查。
先到瑞星网站下载“瑞星注册表修复工具”并运行,发现EXE文件关联被改为SVCH0ST.EXE。修复!
到 http://endurer.ys168.com下载 HijackThis 扫描log,发现如下可疑进程和项目:
-------------
C:/WINDOWS/help/ZTpass.exe
C:/WINDOWS/SYSTEM32/SVCH0ST.EXE(注意:文件名中H和S之间的是数字0)
C:/WINDOWS/system32/scanregw.exe
C:/WINDOWS/system32/scanregw.exe
C:/WINDOWS/system32/SVOHOST.exe
O4 - HKLM/../Run: [SoundMam] C:/WINDOWS/system32/SVOHOST.exe
O4 - HKLM/../Run: [ScanRegistry] scanregw.exe
O4 - HKLM/../RunServices: [SVCHOST] C:/WINDOWS/SYSTEM32/SVCH0ST.EXE
O4 - HKCU/../Run: [meimeimei.exe] C:/WINDOWS/system32/meimeimei.exe
O23 - Service: Microsoft Winshell - Unknown owner - C:/WINDOWS/Microsoft Winshell.exe
O23 - Service: ZT Massacre (ZTmassacre) - Unknown owner - C:/WINDOWS/help/ZTpass.exe
-------------
停止并禁用系统服务:
Microsoft Winshell
ZT Massacre (ZTmassacre)
到 http://endurer.ys168.com下载 ProcView 终止了可疑进程。
用WinRAR找到如下可疑文件,打包备份后,加上.del扩展名:
-------------
C:/WINDOWS/Microsoft Winshell.exe(Kaspersky 报为 Backdoor.Win32.Hupigon.bwt)
************************************************
病毒上报邮件分析结果-流水单号:3126011
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:Microsoft Winshell.exe
病毒名:Backdoor.Gpigeon.fev
我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/WINDOWS/help/ZTpass.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.ayt)
C:/WINDOWS/Help/ZThook.dll(Kaspersky 报为 Trojan-PSW.Win32.Lmir.awj,瑞星报为Trojan.PSW.ZhengTu.bn)
C:/WINDOWS/system32/meimeimei.exe(Kaspersky 报为 Trojan-Dropper.Win32.Small.qn ,瑞星报为Worm.Flowdy.b)
C:/WINDOWS/system32/meimeimei.dll(Kaspersky 报为 Trojan-Dwonloader.Win32.Delf.asf,瑞星报为Worm.Flowdy.a)
C:/WINDOWS/system32/winscok.dll(Kaspersky 报为 Trojan-PSW.Win32.QQPass.jg,瑞星报为)
C:/WINDOWS/system32/ntdll32.dll(Kaspersky 报为 Trojan-PSW.Win32.QQPass.hd,瑞星报为Trojan.PSW.MMThief.g)
C:/WINDOWS/system32/RXpass.exe(Kaspersky 报为 Trojan-PSW.Win32.Gamec.ag)
************************************************
病毒上报邮件分析结果-流水单号:3127632
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:RXpass.exe
病毒名:Trojan.PSW.WoWar.gn
我们将在较新的18.38.20版本中处理解决,请您届时将您的瑞星软件升级到18.38.20版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/WINDOWS/SYSTEM32/SVCH0ST.EXE(注意:文件名中H和S之间的是数字0,Kaspersky 报为 Trojan-Spy.Win32.Agent.ct)
************************************************
病毒上报邮件分析结果-流水单号:3127476
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:SVCH0ST.EXE
病毒名:Trojan.PSW.MMThief.v
我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/WINDOWS/system32/scanregw.exe(Kaspersky 报为 Trojan-Downloader.Win32.Pakes,瑞星报为Worm.Flowdy.a)
C:/WINDOWS/system32/SVOHOST.exe(Kaspersky 报为 Trojan-PSW.Win32.QQPass.jg)
************************************************
病毒上报邮件分析结果-流水单号:3126223
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:SVOHOST.exe
病毒名:Trojan.PSW.QQPass.poz
我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。************************************************
C:/windows/temp/gezi.exe(Kaspersky 报为 Backdoor.Win32.Hupigon.bwt)
************************************************
病毒上报邮件分析结果-流水单号:3126053
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:gezi.exe
病毒名:Backdoor.Gpigeon.fev
我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/windows/temp/hw.exe
C:/windows/temp/jianghu.exe
C:/windows/temp/menghuan.exe
C:/windows/temp/zhengtu.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.ayt)************************************************
病毒上报邮件分析结果-流水单号:3127866
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:zhengtu.exe
病毒名:Trojan.PSW.ZhengTu.cq
我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/program files/Internet Explorer/ie2.exe(Kaspersky 报为 Trojan.Win32.Pakes)
C:/Program Files/Internet Explorer/PLUGINS/system.sys(Kaspersky 报为Trojan-PSW.Win32.QQRob.gd)
************************************************
病毒上报邮件分析结果-流水单号:3126269
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:system.sys
病毒名:Trojan.PSW.QQPass.fq
我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
-------------
到 http://endurer.ys168.com下载 瑞星杀毒助手,使用瑞星在线免费扫描,结果如下:
-------------
2006-7-31 10:54:47 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/scanregw.exe.del Trojan.PSW.PowerSpider.bm(Kaspersky 报为 Trojan-Downloader.Win32.Pakes)
C:/WINDOWS/system32/aclayer.exe Trojan.DL.Agent.vp
C:/WINDOWS/system32/aclayer.dll Trojan.DL.Agent.vp
C:/WINDOWS/system32/yangyang.dll Trojan.PSW.PowerSpider.bm
C:/WINDOWS/system32/meimeimei.exe.del Worm.Flowdy.b(Kaspersky 报为 Trojan-Dropper.Win32.Small.qn )
C:/WINDOWS/system32/meimeimei.dll.del Worm.Flowdy.a(Kaspersky 报为 Trojan-Dwonloader.Win32.Delf.asf)
C:/WINDOWS/system32/ntdll32.dll.del Trojan.PSW.MMThief.g(Kaspersky 报为 Trojan-PSW.Win32.QQPass.hd)
C:/WINDOWS/Help/ZThook.dll.del Trojan.PSW.ZhengTu.bn(Kaspersky 报为 Trojan-PSW.Win32.Lmir.awj)
-------------
都用瑞星杀毒助手解决了。
再用Kaspersky在线免费扫描,结果如下:
-------------
C:/windows/temp/gezi.exe.delInfected: Backdoor.Win32.Hupigon.bwtskipped
C:/WINDOWS/system32/winscok.dll.delInfected: Trojan-PSW.Win32.QQPass.jgskipped
C:/WINDOWS/system32/SVOHOST.exe.delInfected: Trojan-PSW.Win32.QQPass.jgskipped
C:/WINDOWS/Microsoft Winshell.exe.delInfected: Backdoor.Win32.Hupigon.bwtskipped
C:/Program Files/Internet Explorer/PLUGINS/system.sys.delInfected: Trojan-PSW.Win32.QQRob.gdskipped
C:/Recycled/Dc2755.exeInfected: Backdoor.Win32.Hupigon.bwtskipped
-------------
除 C:/WINDOWS/system32/winscok.dll 不能直接删除,用了“下次启动时删除文件”(可以到 http://endurer.ys168.com 下载)程序来解决外,其它染毒文件都打包备份后删除了。
清空IE临时文件夹。