1   1  /  1  页   跳转

【求助】中招了!请求帮助

收藏
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-19 14:20 | 只看楼主 短消息 资料
字号: 1楼

【求助】中招了!请求帮助

前几天从QQ群里发现一个地址www.oljkwd.cn/204.rar,从该地址下载了一个压缩包,解压以后是一个名为204的文件夹。其中有一个名为"我的照片.E(大写)xe",明摆着就是病毒,就放在了那里。瑞星虽每天都升级到最新版本,但过几天查这个文件还是什么反应都没有,只好自己来看,发现这个用UPX加壳的文件提取以后从33.1KB变成了71.1KB,返回的文件类型为Borland Delphi,这病毒真的编写得如此隐蔽?我启动了文件,只是QQ程序出错了,其它一切正常。当关闭IE时,瑞星提示发现好多病毒(见下),好像还调用了CMD,在关机前发现如下病毒
病毒名称    处理结果    扫描方式    路径    文件
Trojan.PSW.Win32.OnlineGames.yov    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    qqhx.exe>>upack0.34
Trojan.PSW.Win32.YBOnline.as    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    jh.exe>>upack0.34
Trojan.PSW.Win32.SunOnline.ch    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    qjsj.exe
Trojan.PSW.Win32.OnlineGames.yqi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wl.exe>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjx    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zt.exe>>upack0.34
Trojan.PSW.Win32.XYOnline.hw    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    2.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.ypy    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    3.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.ypw    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    5.exe
Trojan.PSW.Win32.OnlineGames.yks    删除成功    文件监控    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\8T27K12Z    da[1].exe
Trojan.PSW.Win32.YBOnline.as    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    jh.exe>>upack0.34
Trojan.PSW.Win32.SunOnline.ch    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    qjsj.exe
Trojan.PSW.Win32.OnlineGames.yqi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wl.exe>>upack0.34
Trojan.PSW.Win32.WoWar.wr    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zx.exe>>upack0.39
Trojan.PSW.Win32.ZhengTu.yjx    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    my.exe>>upack0.34
Trojan.PSW.Win32.XYOnline.hw    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    2.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.ypy    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    3.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.ypw    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    5.exe


可是又发现QQ密码最多只能输入14位,软键盘也失控了,看来又有病毒,还好没有输入正确的密码,但QQ安全中心、QQ的查杀木马都没有任何异常。
上报了该病毒后提示
    …………
    1.文件名:我的照片.Exe
    病毒名:Worm.Win32.PaBug.p
    …………
    您所上报的病毒文件将在19.40.50版本中处理解决。
随后删除了访问规则中的所有规则,并升级了杀毒软件随即又出现大量发现病毒的窗口:

病毒名称    处理结果    扫描方式    路径    文件
Trojan.PSW.Win32.OnlineGames.yov    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    qqhx.exe>>upack0.34
Trojan.PSW.Win32.SunOnline.ch    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    qjsj.exe
Trojan.PSW.Win32.OnlineGames.yqf    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    wmgj.exe
Trojan.PSW.Win32.OnlineGames.yqi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wl.exe>>upack0.34
Trojan.PSW.Win32.WoWar.wr    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zx.exe>>upack0.39
Trojan.PSW.Win32.TLOnline.ax    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    tl.exe>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjx    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    my.exe>>upack0.34
Trojan.PSW.Win32.XYOnline.hw    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    2.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.ypy    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    3.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.yov    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    qqhx.exe>>upack0.34
Trojan.PSW.Win32.SunOnline.ch    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    qjsj.exe
Trojan.PSW.Win32.OnlineGames.yqf    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    wmgj.exe
Trojan.PSW.Win32.OnlineGames.yqi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wl.exe>>upack0.34
Trojan.PSW.Win32.WoWar.wr    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zx.exe>>upack0.39
Trojan.PSW.Win32.TLOnline.ax    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    tl.exe>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjx    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    my.exe>>upack0.34
Trojan.PSW.Win32.XYOnline.hw    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    2.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.ypy    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    3.exe>>upack0.34
Trojan.PSW.Win32.SunOnline.ch    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    qjsj.exe
Trojan.PSW.Win32.OnlineGames.yqi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wl.exe>>upack0.34
Trojan.PSW.Win32.WoWar.wr    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zx.exe>>upack0.39
Trojan.PSW.Win32.TLOnline.ax    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    tl.exe>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjx    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    my.exe>>upack0.34
Trojan.PSW.Win32.XYOnline.hw    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    2.exe>>upack0.34
Trojan.PSW.Win32.QQHX.tpv    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    qqhx.exe>>upack0.34
Trojan.PSW.Win32.WoWar.xi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wow.exe>>upack0.39
Trojan.PSW.Win32.QQHX.tpv    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    hx2.exe>>upack0.34
Trojan.PSW.Win32.WsGame.aj    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    mh.exe>>upx_c
Trojan.PSW.Win32.SunOnline.ch    删除成功    文件监控    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp    qjsj.exe
Trojan.PSW.Win32.AskTao.ch    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wd.exe>>upack0.39
Trojan.PSW.Win32.OnlineGames.yqi    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    wl.exe>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjy    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zt.exe>>upack0.39
Trojan.PSW.Win32.WoWar.wr    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    zx.exe>>upack0.39
Trojan.PSW.Win32.TLOnline.ax    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    tl.exe>>upack0.34
Trojan.PSW.Win32.OnlineGames.yrd    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    1.exe>>upack0.34
Trojan.PSW.Win32.XYOnline.hw    删除成功    文件监控    c:\docume~1\admini~1\locals~1\temp    2.exe>>upack0.34
Trojan.PSW.Win32.ZhuXian.bl    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    avpzx.dat>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjy    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravztmon.dat>>upack0.34
Trojan.PSW.Win32.ZhuXian.bl    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    avpzx.dat>>upack0.34
Trojan.PSW.Win32.ZhengTu.yjy    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravztmon.dat>>upack0.34
Trojan.PSW.Win32.ZhuXian.bl    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    avpzx.dat>>upack0.34
Trojan.PSW.Win32.ZhuXian.bl    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    avpzx.dat>>upack0.34
Trojan.PSW.Win32.AskTao.ch    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravwdmon.dat>>upack0.34
Trojan.PSW.Win32.QQHX.tpv    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kaqhczy.dll
Trojan.PSW.Win32.AskTao.ch    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravwdmon.dat>>upack0.34
Trojan.PSW.Win32.AskTao.ch    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravwdmon.dat>>upack0.34
Trojan.PSW.Win32.QQHX.tpv    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kaqhczy.dll
Trojan.PSW.Win32.QQHX.tpv    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kaqhczy.dll
Trojan.PSW.Win32.AskTao.ch    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravwdmon.dat>>upack0.34
Trojan.PSW.Win32.AskTao.ch    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravwdmon.dat>>upack0.34
Worm.Win32.PaBug.p    重新启动计算机后删除文件    文件监控    C:\Program Files\Internet Explorer\PLUGINS    WinSys64.Sys
Trojan.PSW.Win32.QQHX.tpv    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kaqhczy.dll
Worm.Win32.PaBug.p    重新启动计算机后删除文件    文件监控    C:\Program Files\Internet Explorer\PLUGINS    WinSys64.Sys
Trojan.PSW.Win32.QQHX.tpv    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kaqhczy.dll
Trojan.PSW.Win32.AskTao.ch    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravwdmon.dat>>upack0.34
Worm.Win32.PaBug.p    重新启动计算机后删除文件    文件监控    C:\Program Files\Internet Explorer\PLUGINS    WinSys64.Sys
Trojan.PSW.Win32.QQHX.tpv    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kaqhczy.dll
Worm.Win32.PaBug.p    重新启动计算机后删除文件    文件监控    C:\Program Files\Internet Explorer\PLUGINS    WinSys64.Sys
Trojan.PSW.Win32.WsGame.aj    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    xyupri0.dll
Trojan.PSW.Win32.OnlineGames.yrd    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kacqazy.dll
Trojan.PSW.Win32.WsGame.aj    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    xyupri0.dll
Trojan.PSW.Win32.OnlineGames.yrd    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    kacqazy.dll
Trojan.PSW.Win32.OnlineGames.yrd    删除成功    文件监控    c:\winnt\system32    kacqaaz.exe>>upack0.34
Trojan.PSW.Win32.QQHX.tpv    删除成功    文件监控    c:\winnt\system32    kapjaaz.exe>>upack0.34
……


而且是无限循环,只好重启。计算机看似一切正常,但却隐藏着深深的危机。
再次开机,升级了瑞星,又提示:
Trojan.PSW.Win32.AskTao.ch    删除成功    文件监控    c:\program files\netmeeting    ravwdmon.exe>>upack0.39
Trojan.PSW.Win32.ZhuXian.bl    删除成功    文件监控    c:\program files\netmeeting    avpzx.exe>>upack0.39
Trojan.PSW.Win32.ZhengTu.yjy    删除成功    文件监控    c:\program files\netmeeting    ravztmon.exe>>upack0.39


登录QQ,竟然发现好像上次登录地址是江苏,我明明没有输入过密码,奇怪。关闭QQ
提示
Trojan.PSW.Win32.YBOnline.av    重新启动计算机后删除文件    文件监控    c:\winnt\system32    mscomm.dll>>upack0.34


重启后发现开机用户登录时瑞星监控不见了,启动后,邮件发送、接收监控都被禁用了,启动不了,网也断了,修复了winsock服务提供者才恢复正常。再次升级后,又发现:
Trojan.PSW.Win32.ZeroOnline.ax    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravjzmon.dat>>upack0.34
Trojan.PSW.Win32.ZeroOnline.ax    重新启动计算机后删除文件    文件监控    c:\program files\netmeeting    ravjzmon.dat>>upack0.34
Trojan.PSW.Win32.RocOnline.ec    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    rsmyapm.dll
Trojan.PSW.Win32.RocOnline.ec    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    rsmyapm.dll
Trojan.PSW.Win32.RocOnline.ec    重新启动计算机后删除文件    文件监控    C:\WINNT\system32    rsmyapm.dll
………………

打印机也出错了。在E盘根目录下出现名为autorun.exe的文件,登录QQ,显示登录地址在云南。QQ医生检查发现自动更新也被关闭,一看,还被锁定了。
哪位高手能帮我分析一下这个病毒,在代码分析后面贴上详细的解决方案及病毒的编写思想,在下先谢了!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件附件:

下载次数:123
文件类型:application/octet-stream
文件大小:
上传时间:2007-9-19 14:20:34
描述:

最后编辑2007-09-24 23:16:16
分享到:
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2007-09-19 14:33 | 短消息 资料
字号: 2楼

很明显你下的是木马下载器.现在电脑上都是病毒了.发个扫描日志上来吧.

下载 System Repair Engineer系统扫描工具软件,下载地址如下:
http://www.kztechs.com/sreng/download.html
扫描和上传日志的方法:
1、解压缩所下载的sreng2.zip压缩包;
2、打开已经解压缩的SRENG文件夹,双击运行其中的SREngPS.exe;
3、依次按“智能扫描”、“扫描”、“保存报告”,将日志保存到硬盘上;
4、把日志扩展名改为.txt.然后以附件形式传上来,请不要更改日志内容.
友情提示:
1、扫描日志前请先关闭所有打开的软件(如QQ、迅雷等程序和IE窗口,注意,是关闭而不是最小化窗口)
2、注意在没有进一步提示前,请勿用SRENG工具胡乱修复,否则系统可能变的情况更糟。
gototop
 
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-19 14:45 | 只看楼主 短消息 资料
字号: 3楼

可是防火墙除了进行数字签名的程序外没有提示任何程序访问网络啊
gototop
 
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-19 15:34 | 只看楼主 短消息 资料
字号: 4楼

[CODE]

2007-09-19,15:30:45

System Repair Engineer 2.5.16.900
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195) - 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
……
(详见附件)

附件附件:

下载次数:128
文件类型:application/octet-stream
文件大小:
上传时间:2007-9-19 15:34:17
描述:
gototop
 
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-19 15:36 | 只看楼主 短消息 资料
字号: 5楼

把.log改成.txt后的

附件附件:

下载次数:109
文件类型:application/octet-stream
文件大小:
上传时间:2007-9-19 15:36:52
描述:
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2007-09-19 16:04 | 短消息 资料
字号: 6楼

先下载Icesword冰刃1.22: http://www.onlinedown.net/soft/53325.htm
重启计算机按F8进入安全模式:
打开sreng
启动项目--注册表--删除如下项目:
<ravgjmon><C:\Program Files\NetMeeting\ravgjmon.exe>  []
    <ravjzmon><C:\Program Files\NetMeeting\ravjzmon.exe>  []
    <avpwm><C:\Program Files\NetMeeting\avpwm.exe>  []
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>  [N/A]
    <{10954158-6981-2058-5987-365415874101}><C:\WINNT\system32\kacqazy.dll>  [N/A]
    <{37D81718-1314-5200-2597-587901018073}><C:\WINNT\system32\kaqhczy.dll>  [N/A]
    <{1598FF45-DA60-F48A-BC43-10AC47853D51}><C:\WINNT\system32\rarjapi.dll>  [N/A]
    <{1A321487-4977-D98A-C8D5-6488257545A1}><C:\WINNT\system32\kapjazy.dll>  []
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINNT\system32\rsmyapm.dll>  [N/A]
    <{4B681598-AD5F-BC8C-77DC-748FAC8D3FB4}><C:\WINNT\system32\kafydzy.dll>  []
双击<AppInit_DLLs>清空<kapjazy.dll>
打开sreng
点击启动项目--服务--驱动程序-- 勾选“隐藏经认证的微软项目”
等待列表出来之后点击以下项目:
[mssock / mssock][Stopped/Manual Start]
  <\??\C:\WINNT\system32\mssock.sys><N/A>
[S12345 / S12345][Stopped/Manual Start]
  <\??\G:\S12345.SYS><N/A>
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
打开Icesword冰刃1.22--文件--强制删除以下文件:
C:\Program Files\NetMeeting\ravgjmon.exe
C:\Program Files\NetMeeting\ravjzmon.exe
C:\Program Files\NetMeeting\avpwm.exe
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\WINNT\system32\kacqazy.dll
C:\WINNT\system32\kaqhczy.dll
C:\WINNT\system32\rarjapi.dll
C:\WINNT\system32\kapjazy.dll
C:\WINNT\system32\rsmyapm.dll
C:\WINNT\system32\kafydzy.dll
C:\WINNT\system32\mssock.sys
G:\S12345.SYS
C:\Program Files\NetMeeting\avpwm.dat
C:\Program Files\NetMeeting\ravgjmon.dat
打开sreng--系统修复--文件关联--修复

如果还有什么问题重新扫描日志发上来.
gototop
 
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-24 20:55 | 只看楼主 短消息 资料
字号: 7楼

能不能不用Icesword,直接手动修复?那些都是干什么的啊?
gototop
 
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-24 20:57 | 只看楼主 短消息 资料
字号: 8楼

还有那些别的东西怎么办?比如说windows自动更新、驱动等等等等等等等
gototop
 
无聊的白蚁
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2005-01-23
  • 来自:
发表于: 2007-09-24 21:02 | 只看楼主 短消息 资料
字号: 9楼

而且那些被强行删除的文件也就是那个病毒的子病毒好像还是查不出来
gototop
 
没有梦想的男人
头像
锋芒艾服狮
  • 帖子:1680
  • 注册: 2007-07-07
  • 来自:
发表于: 2007-09-24 23:27 | 短消息 资料
字号: 10楼

看日不懂大师帮别人清理病毒用arswp清理助手可以清理,你试试看吧,我也没度过不知道行不行.
arswp清理助手: http://www.arswp.com/
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT