【原创】解决灰鸽子、Rootkit.Vanti.gen等及www.58111.com劫持(第4版) - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】解决灰鸽子、Rootkit.Vanti.gen等及www.58111.com劫持(第4版)

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

【原创】解决灰鸽子、Rootkit.Vanti.gen等及www.58111.com劫持(第4版)

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2006-07-12 22:21 \| 只看楼主短消息资料字号：小中大 1楼【原创】解决灰鸽子、Rootkit.Vanti.gen等及www.58111.com劫持(第4版) endurer　原创 2006-07-17　第4版　补充杀毒软件的反应。 2006-07-14　第3版　补充杀毒软件的反应。 2006-07-13　第2版　补充杀毒软件的反应，在该网友电脑的其它盘发现的恶意程序。 2006-07-12　第1版　　昨天有网友说他的电脑中的瑞星每次开机自动扫描总是报告发现灰鸽子，实时监控总发现并成功删除Rootkit.Vanti.gen的文件C:\WINDOWS\Tempkqmbz78.dll。如： ------------------------------------------------------------------------------- 07-11 病毒名称处理结果扫描方式路径文件 Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll Exploit.VBS.Phel.z 跳过脚本网页/脚本监控C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp375264042664.tmp Exploit.VBS.Phel.z 重新启动计算机后删除文件文件监控C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\H9CE4RPYbbs[1].htm Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll Trojan.DL.Small.mjr 删除成功文件监控C:\System Volume Information\_restore{E636C2E6-57A1-4711-9BF0-6BE15D9B34BF}\RP26A0007562.dll Rootkit.Vanti.gen 删除成功文件监控C:\WINDOWS\Tempkqmbz78.dll ------------------------------------------------------------------------------- 并且IE被强行设置为hxxp://www.58111.com。通过QQ远程协助，先到下载了HijackThis和下次启动时“自动删除文件程序”（Auto_del.rar）。使用HijackThis扫描简明log，发现如下可疑项目： ------------------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 20:46:10, on 2006-7-11 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:\WINDOWS\system32\ssup.dll O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll O3 - Toolbar: 系统标准按钮(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:\WINDOWS\system32\SystemToolbar.dll O23 - Service: System Event Log Service (SystemLog) - ＷＷＷ.ＨＵＩＧＥＺＩ.ＮＥＴ - C:\WINDOWS\system32\shellext\services.exe O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\fish.exe ------------------------------------------------------------------------------ 修复过程如下（相关操作方法可参考：【系统修复系列之】基本操作索引:）： 1、停止并禁用系统服务： System Event Log Service (SystemLog) Windows XP Vista 2、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service，找到并删除 System Event Log Service (SystemLog) 和 Windows XP Vista 子键。 3、使用WinRAR找到下列文件并打包备份，并删除： C:\WINDOWS\system32\ssup.dll C:\WINDOWS\system32\HelperService.dll C:\WINDOWS\system32\SystemToolbar.dll C:\WINDOWS\system32\shellext\services.exe C:\WINDOWS\fish.exe ／**************************************************************** 07-13第2版补充： Kaspersky将 services.exe 和 fish.exe 报为 Backdoor.Win32.Hupigon.btb 主　题：病毒上报邮件分析结果－流水单号:2969997 发件人： "" ＜send@rising.net.cn＞发送时间：2006-07-13 20:39:41 尊敬的客户，您好！您的邮件已经收到，感谢您对瑞星的支持。我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果： 1.文件名：fish.exe 病毒名：Backdoor.Gpigeon.zjn 我们将在较新的18.35.40版本中处理解决，请您届时将您的瑞星软件升级到18.35.40版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。主　题：病毒上报邮件分析结果－流水单号:2970004 发件人： "" ＜send@rising.net.cn＞发送时间：2006-07-13 20:49:54 尊敬的客户，您好！您的邮件已经收到，感谢您对瑞星的支持。我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果： 1.文件名：services.exe 病毒名：Backdoor.Gpigeon.ziu 我们将在较新的18.35.40版本中处理解决，请您届时将您的瑞星软件升级到18.35.40版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。 **************************************************************／／************************************************************** 07-17　第4版补充： Kaspersky将 SystemToolbar.dll 报为 Trojan-Clicker.Win32.Delf.dn **************************************************************／ 4、关闭所有浏览器窗口和文件夹窗口，重新使用HijackThis扫描，在上列可疑项目前打上勾，然后点[修复](Fix)（如果你清楚某项是安全的，可以不处理）。 5、另外在C:\发现可疑文件internat.exe, infoser.hta 和 autoexec.com，也用WinRAR打包备份，并删除。／************************************************************** 07-13第2版补充： Kaspersky将 internat.exe 报为 Trojan-Downloader.Win32.Delf.aqv Kaspersky将 AUTOEXEC.com 报为 Trojan-Downloader.Win32.Small.dfh **************************************************************／／************************************************************** 07-17　第4版补充：主　题：病毒上报邮件分析结果－流水单号:2970024 发件人： "" ＜send@rising.net.cn＞发送时间：2006-07-17 17:36:42 尊尊敬的客户，您好！您的邮件已经收到，感谢您对瑞星的支持。我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果： 1.文件名：AUTOEXEC.COM 病毒名：Trojan.DL.Small.mse 2.文件名：infoser.hta 不是病毒 3.文件名：internat.exe 病毒名：Trojan.DL.Direct.u 我们将在较新的18.36.2版本中处理解决，请您届时将您的瑞星软件升级到18.36.2版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。 ***************************************************************／ 6、清空IE临时文件夹和Windows临时文件夹（c:\windows\temp） 7、关闭系统还原功能再打开。 8、使用瑞星注册表修复工具，把IE首页修复为about:blank。 9、使用Kaspersky的在线扫描功能扫描C盘，又发现一个： C:\Program Files\Internet Explorer\PLUGINS\new123.sys Infected: Trojan-PSW.Win32.QQGame.m* skipped ／**************************************************************** 07-14第3版补充：主　题：病毒上报邮件分析结果－流水单号:2978259 发件人： ""＜send@rising.net.cn＞发送时间：2006-07-14 20:26:10 尊敬的客户，您好！您的邮件已经收到，感谢您对瑞星的支持。我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果： 1.文件名：new123.sys 病毒名：Trojan.PSW.QQPass.pmo 我们将在较新的18.36.0版本中处理解决，请您届时将您的瑞星软件升级到18.36.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。 **************************************************************／也用WinRAR打包备份，但无法直接删除，运行“下次启动时自动删除文件”程序auto_del.exe，把new123.sys从WinRAR窗口拖到auto_del窗口，点击“改所有文件名”和“下次启动时删除”按钮。　　今天中午，该网友在QQ上说，今天瑞星不再捍示发现灰鸽子和Rootkit.Vanti.gen了。他用 Kaspersky的在线扫描功能扫描其它盘，又发现一些病毒： --------------------------------------------------------- E:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\D8YUFA9D\open_01[1].js Infected: Trojan-Downloader.JS.IstBar.ai skipped F:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\BKL9NCC8\wintest[1].js Infected: Trojan-Downloader.JS.IstBar.ai skipped F:\Documents and Settings\j\Local Settings\Temp\kucosetupno3.exe/WISE0009.BIN Infected: Trojan-Downloader.Win32.Small.dav skipped F:\Documents and Settings\j\Local Settings\Temp\kucosetupno3.exe WiseSFX: infected - 1 skipped F:\Program Files\office\office\3721.exe Infected: Trojan-Clicker.Win32.VB.lc skipped F:\Program Files\office\office\ad1.exe Infected: Trojan-Clicker.Win32.VB.lc skipped F:\Program Files\office\office\ad3.exe Infected: Trojan-Clicker.Win32.VB.lc skipped F:\Program Files\office\office\ad5.exe Infected: Trojan-Clicker.Win32.VB.lc skipped F:\Program Files\office\office\system.exe Infected: Trojan-Clicker.Win32.VB.ma skipped F:\Program Files\ftc\fygPlugins.exe Infected: Backdoor.Win32.Agent.abu** skipped --------------------------------------------------------- 也通过QQ远程协助处理了。你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryID=5378659 2006-07-14 21:30:11
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	分享到：

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-07-12 22:25 \| 短消息资料字号：小中大 2楼这些进程很眼熟学习了
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

asdfewasdf 初生襁褓狮帖子:138 注册: 2006-07-01 来自:	发表于： 2006-07-12 23:25 \| 短消息资料字号：小中大 3楼不错不错~~~支持啊~~顶~~~学了不少东西啊~~~大家顶啊~~
asdfewasdf 初生襁褓狮帖子:138 注册: 2006-07-01 来自:

asdfewasdf 初生襁褓狮帖子:138 注册: 2006-07-01 来自:	发表于： 2006-07-12 23:27 \| 短消息资料字号：小中大 4楼太好了~~禁不住再顶一下~~~~有空就顶哈
asdfewasdf 初生襁褓狮帖子:138 注册: 2006-07-01 来自:

yanmings 锋芒艾服狮帖子:1698 注册: 2005-01-10 来自:	发表于： 2006-07-12 23:29 \| 短消息资料字号：小中大 5楼很详细的解决方案，收藏
yanmings 锋芒艾服狮帖子:1698 注册: 2005-01-10 来自:

endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio	发表于： 2006-07-14 21:25 \| 只看楼主短消息资料字号：小中大 6楼瑞星已经可以查杀其中的一部分恶意程序了。
endurer 社区嘉宾帖子:22020 注册: 2003-04-29 来自:pe_xscan Studio

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-07-14 21:30 \| 短消息资料字号：小中大 7楼版主上传可疑文件给瑞星，是造福大众了。
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2006-07-14 21:38 \| 短消息资料字号：小中大 8楼学习之~~~~~~~~~~~~~~~~~~
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT