[08-01] 解决Hupigon.bwt、ZhengTu.bn、QQPass.hd、Flowdy.b等病毒(第2版)

最新推荐文章于 2024-05-23 22:40:42 发布
最新推荐文章于 2024-05-23 22:40:42 发布
阅读量217 收藏
点赞数
文章标签: 操作系统

endurer 原创
2006-08-01 第2版 补充杀毒软件的反应
2006-07-31 第1

今早,一位网友的电脑,使用的是Windows XP SP2,进入Windows后,就弹出一个命令提示符窗口,提示尝试停止Windows防火墙。请我帮忙检查。

先到瑞星网站下载“瑞星注册表修复工具”并运行,发现EXE文件关联被改为SVCH0ST.EXE。修复!

http://endurer.ys168.com下载 HijackThis 扫描log,发现如下可疑进程和项目:

-------------
C:/WINDOWS/help/ZTpass.exe
C:/WINDOWS/SYSTEM32/SVCH0ST.EXE(注意:文件名中H和S之间的是数字0)
C:/WINDOWS/system32/scanregw.exe
C:/WINDOWS/system32/scanregw.exe
C:/WINDOWS/system32/SVOHOST.exe

O4 - HKLM/../Run: [SoundMam] C:/WINDOWS/system32/SVOHOST.exe

O4 - HKLM/../Run: [ScanRegistry] scanregw.exe

O4 - HKLM/../RunServices: [SVCHOST] C:/WINDOWS/SYSTEM32/SVCH0ST.EXE

O4 - HKCU/../Run: [meimeimei.exe] C:/WINDOWS/system32/meimeimei.exe

O23 - Service: Microsoft Winshell - Unknown owner - C:/WINDOWS/Microsoft Winshell.exe

O23 - Service: ZT Massacre (ZTmassacre) - Unknown owner - C:/WINDOWS/help/ZTpass.exe
-------------

停止并禁用系统服务:
Microsoft Winshell
ZT Massacre (ZTmassacre)

http://endurer.ys168.com下载 ProcView 终止了可疑进程。

用WinRAR找到如下可疑文件,打包备份后,加上.del扩展名:
-------------
C:/WINDOWS/Microsoft Winshell.exe(Kaspersky 报为 Backdoor.Win32.Hupigon.bwt

************************************************
病毒上报邮件分析结果-流水单号:3126011

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:Microsoft Winshell.exe
病毒名:Backdoor.Gpigeon.fev

我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/WINDOWS/help/ZTpass.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.ayt
C:/WINDOWS/Help/ZThook.dll(Kaspersky 报为 Trojan-PSW.Win32.Lmir.awj,瑞星报为Trojan.PSW.ZhengTu.bn
C:/WINDOWS/system32/meimeimei.exe(Kaspersky 报为 Trojan-Dropper.Win32.Small.qn ,瑞星报为Worm.Flowdy.b
C:/WINDOWS/system32/meimeimei.dll(Kaspersky 报为 Trojan-Dwonloader.Win32.Delf.asf,瑞星报为Worm.Flowdy.a
C:/WINDOWS/system32/winscok.dll(Kaspersky 报为 Trojan-PSW.Win32.QQPass.jg,瑞星报为)
C:/WINDOWS/system32/ntdll32.dll(Kaspersky 报为 Trojan-PSW.Win32.QQPass.hd,瑞星报为Trojan.PSW.MMThief.g
C:/WINDOWS/system32/RXpass.exe(Kaspersky 报为 Trojan-PSW.Win32.Gamec.ag
************************************************
病毒上报邮件分析结果-流水单号:3127632

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:RXpass.exe
病毒名:Trojan.PSW.WoWar.gn

我们将在较新的18.38.20版本中处理解决,请您届时将您的瑞星软件升级到18.38.20版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。

************************************************


C:/WINDOWS/SYSTEM32/SVCH0ST.EXE(注意:文件名中H和S之间的是数字0,Kaspersky 报为 Trojan-Spy.Win32.Agent.ct
************************************************
病毒上报邮件分析结果-流水单号:3127476

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:SVCH0ST.EXE
病毒名:Trojan.PSW.MMThief.v

我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************

C:/WINDOWS/system32/scanregw.exe(Kaspersky 报为 Trojan-Downloader.Win32.Pakes,瑞星报为Worm.Flowdy.a
C:/WINDOWS/system32/SVOHOST.exe(Kaspersky 报为 Trojan-PSW.Win32.QQPass.jg

************************************************
病毒上报邮件分析结果-流水单号:3126223

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:SVOHOST.exe
病毒名:Trojan.PSW.QQPass.poz

我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。************************************************

C:/windows/temp/gezi.exe(Kaspersky 报为 Backdoor.Win32.Hupigon.bwt

************************************************
病毒上报邮件分析结果-流水单号:3126053

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:gezi.exe
病毒名:Backdoor.Gpigeon.fev

我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
C:/windows/temp/hw.exe
C:/windows/temp/jianghu.exe
C:/windows/temp/menghuan.exe
C:/windows/temp/zhengtu.exe(Kaspersky 报为 Trojan-PSW.Win32.Lmir.ayt************************************************
病毒上报邮件分析结果-流水单号:3127866

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:zhengtu.exe
病毒名:Trojan.PSW.ZhengTu.cq

我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************

C:/program files/Internet Explorer/ie2.exe(Kaspersky 报为 Trojan.Win32.Pakes
C:/Program Files/Internet Explorer/PLUGINS/system.sys(Kaspersky 报为Trojan-PSW.Win32.QQRob.gd

************************************************
病毒上报邮件分析结果-流水单号:3126269

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:system.sys
病毒名:Trojan.PSW.QQPass.fq

我们将在较新的18.38.11版本中处理解决,请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
************************************************
-------------

http://endurer.ys168.com下载 瑞星杀毒助手,使用瑞星在线免费扫描,结果如下:
-------------
2006-7-31 10:54:47 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/scanregw.exe.del Trojan.PSW.PowerSpider.bm(Kaspersky 报为 Trojan-Downloader.Win32.Pakes
C:/WINDOWS/system32/aclayer.exe Trojan.DL.Agent.vp
C:/WINDOWS/system32/aclayer.dll Trojan.DL.Agent.vp
C:/WINDOWS/system32/yangyang.dll Trojan.PSW.PowerSpider.bm
C:/WINDOWS/system32/meimeimei.exe.del Worm.Flowdy.b(Kaspersky 报为 Trojan-Dropper.Win32.Small.qn
C:/WINDOWS/system32/meimeimei.dll.del Worm.Flowdy.a(Kaspersky 报为 Trojan-Dwonloader.Win32.Delf.asf
C:/WINDOWS/system32/ntdll32.dll.del Trojan.PSW.MMThief.g(Kaspersky 报为 Trojan-PSW.Win32.QQPass.hd
C:/WINDOWS/Help/ZThook.dll.del Trojan.PSW.ZhengTu.bn(Kaspersky 报为 Trojan-PSW.Win32.Lmir.awj
-------------

都用瑞星杀毒助手解决了。

再用Kaspersky在线免费扫描,结果如下:
-------------
C:/windows/temp/gezi.exe.delInfected: Backdoor.Win32.Hupigon.bwtskipped
C:/WINDOWS/system32/winscok.dll.delInfected: Trojan-PSW.Win32.QQPass.jgskipped
C:/WINDOWS/system32/SVOHOST.exe.delInfected: Trojan-PSW.Win32.QQPass.jgskipped
C:/WINDOWS/Microsoft Winshell.exe.delInfected: Backdoor.Win32.Hupigon.bwtskipped
C:/Program Files/Internet Explorer/PLUGINS/system.sys.delInfected: Trojan-PSW.Win32.QQRob.gdskipped
C:/Recycled/Dc2755.exeInfected: Backdoor.Win32.Hupigon.bwtskipped
-------------

除 C:/WINDOWS/system32/winscok.dll 不能直接删除,用了“下次启动时删除文件”(可以到 http://endurer.ys168.com 下载)程序来解决外,其它染毒文件都打包备份后删除了。

清空IE临时文件夹。

iteye_6637
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Backdoor.Win32.Hupigon.dsx专杀
06-14
病毒评估: 【病毒名称】:Backdoor.Win32.Hupigon.dsx 【病毒类型】:后门 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 病毒运行后,首先修改该系统时间,致使一些杀软安软因系统时间不符而不能正常工作; 查找windows窗口,然后利用PostMessageA函数发送消息给指定的窗口进行操作; 创建服务,病毒进程在开机时自启动。
计算机病毒的一些印象
学习、分享、交流
04-21 587
极恶性病毒:死机、系统崩溃、删除普通程序或系统文件,破坏系统配置导致系统死机、崩溃、无法重启。 这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。
传说中进程守护的灰鸽子(Backdoor.Win32.Hupigon)
迷失在某一个角落
08-15 1030
文件名称:Time.exe文件大小:486400 bytesAV命名:Backdoor.Win32.Hupigon.fel 中文别名:灰鸽子加壳方式:SVKP 1.3x编写语言:Borland Delphi 6.0 - 7.0病毒类型:后门文件MD5:f4b4eb6a158e575d33a18f6c1303e52a 文件SHA1:3faa0f93a0a12361fb
抓住一只“肥”灰鸽子Backdoor.Win32.Hupigon.cpf(第2)
Purpleendurer@CSDN
10-06 1693
endurer 原创2006-10-09 第2 补充Kaspersky的反应。2006-10-06 第1有位网友,说电脑工作不正常,让偶帮忙检查看看。到 http://endurer.ys168.com 下载 HijackThis 扫描log,发现可疑项:/--------Logfile of HijackThis v1.99.1Platform: Windows XP SP2 (
[08-01] 解决Hupigon.bwtZhengTu.bnQQPass.hd等(第2)
caobihole
07-29 117
endurer 原创2006-07-30 第2补充杀毒软件的反应。2006-07-29 第1 昨天,有位网友的说,他电脑上的瑞星开机自动扫描总报告:-----------Backdoor.Gpigeon.uql 清除成功 2006-07-28 16:01 IEXPLORE.EXE>>C:/Program Files/Internet Explorer/IEXPLORE.EXE...
html iframe.b.gen 病毒,常见病毒及处理方法.doc
weixin_32790659的博客
06-26 364
常见病毒及处理方法病毒索引表APP_SEVU.APE_LOVGATE.AC-OTROJ_STARTPAG.AWORM_MOFEI.BBAT_MUMU.APE_NIMDA.A-OTROJ_TIMESE.CWORM_MSBLASTBAT_SASSER.APE_Parite.ATSPY_AGENT.CWNWORM_MUMU.BBKDR_BLACKHOLE.FPE_PARITE.A-1TSPY_GAMEC...
Trojan-Banker.Win32.Banker (1)
dragoo1的专栏
01-21 3004
又中毒了。。。 症状:开机一个Coilk.exe,运行msconfig之后,发现C:\Program Files\Cffe\Coilk.exe随机启动,不知道什么进程,打开ie,360监控到木马行为(木马居然20m内存...) 原因:1.8装了boundscheck,有病毒病毒原网址: http://www.3ddown.com/soft/31594.htm 分析: 文件细
[08-01] 再斩灰鸽子Backdoor.Gpigeon.uql新变种(第3)
caobihole
08-01 82
endurer 原创2006-07-31 第3补充杀毒软件的反应。2006-07-30 第2补充杀毒软件的反应。2006-07-29 第1 昨天,有位网友的说,他电脑上的瑞星开机自动扫描总报告:-----------Backdoor.Gpigeon.uql 清除成功 2006-07-28 16:01 IEXPLORE.EXE>>C:/Program Files/Intern...
使用grafana beyla作为ebpf无侵入式trace收集工具
神棍之路
05-17 895
Beyla 使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改。它使用 eBPF 自动检查应用程序可执行文件和操作系统网络层,并捕获与 Web 事务相关的跟踪跨度和 Linux HTTP/S 和 gRPC 服务的 Rate Errors Duration (RED) 指标,而无需对应用程序代码或配置进行任何修改.
【加密与解密(第四)】第四章笔记
m0_58213960的博客
05-21 627
x64系统通用寄存器的名称,第1个字母从“E”改为“R”(例如“RAX”),大小扩展到 64 位,数量增加了8个(R8~R15),扩充了8个128位XMM寄存器(在64位程序中,XMM寄存器经常被用来优化代码)。64位寄存器与x86下的32位寄存器兼容,例如RAX(64位)EAX(低32)、AX(低16位)、AL(低8位)和AH(8~15位)。x64新扩展的寄存器高低位访问,使用WORD、BYTE、DWORD后级,例如R8(64位)R8D(低32位)、R8W(低16位)和R8B(低8位)。
Linux “如何添加用户/组和修改用户/组”
y2162484776的博客
05-20 491
我们首先要知道Linux中用户时必须的吗!???用户是标识计算机的资源归属的。
Linux——进程信号
m0_75186846的博客
05-19 1034
介绍了Linux信号的产生、保存与处理
Linux文件操作——实现cp指令以及模拟修改配置文件
shion1114的博客
05-23 191
cp 1.c 2.c功能是将(内容相同,实现拷贝)main函数的参数由编译结果可知,总共有三个输入参数,同时输出每个参数字符串内容。
【四、性能测试】Linux stress 压力模拟测试工具
最新发布
玩转测试,找山茶
05-23 438
山茶,一个做了 6 年性能测试,并坚持探索测试之路的测试开发工程师。曾混迹于互联网大厂、IOTA行业领航企业、安全行业、大数据行业领航企业,欢迎和我一起沟通交流。
不要在中断使用互斥锁,
嵌入式Linux
05-20 227
这句话的下半句还有——不要在进程上下文使用自旋锁我最近测试遇到的问题,本来是想买中需要使用定时器,在Linux内核中使用定时器,那就离不开定时器中断,注意后面多了一个中断,那 要是在定时器中断中使用互斥锁,就面临了我标题中提到的问题。异常的时候打印下面这样的日志引起这样问题的原因这个崩溃可能是由于在中断上下文中使用了互斥锁导致的。在中断上下文中,不能使用会导致睡眠的同步原语,如互斥锁。在上面遇到的...
Docker 镜像是什么?
常备不懈
05-20 474
Docker 镜像(Docker Image)是用于创建 Docker 容器的只读模板。它包含了运行应用程序所需的所有内容,包括代码、运行时环境、库、环境变量以及配置文件。Docker 镜像是构建和分发应用程序的基础。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值