瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 !!超BT Trojan.PSW.Win32.OnlineGames变种!!!!!建议猫叔出专杀

12   1  /  2  页   跳转

!!超BT Trojan.PSW.Win32.OnlineGames变种!!!!!建议猫叔出专杀

收藏
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 10:47 | 只看楼主 短消息 资料
字号: 1楼

!!超BT Trojan.PSW.Win32.OnlineGames变种!!!!!建议猫叔出专杀

1.一不小心中了Trojan.PSW.Win32.OnlineGames。还没弄清什么变种,ring已经被干掉,下面是中毒时的日志。
  1。1 木马下载临时文件
C:\Documents and Settings\Administrator\Local Settings\Temp\M2.exe 
C:\Documents and Settings\Administrator\Local Settings\Temp\smss.exe 
  1。2 explorer被加载C:\Program Files\Common Files\fjOs0r.dll
  1。3 IE被加载C:\Program Files\Internet Explorer\Onloor.dll
上面这几个东西被木马克星给做了,没法做样本了
  1.4  Explorer加载一推游戏后门:
C:\WINDOWS\system32\mhdoor0.dll> 
C:\WINDOWS\system32\wodoor0.dll> 
C:\WINDOWS\system32\qhdoor0.dll> 
C:\WINDOWS\system32\tldoor0.dll> 
C:\WINDOWS\system32\55550.dll> 
C:\WINDOWS\system32\dh3oor0.dll> 
C:\WINDOWS\system32\mydoor0.dll> 
C:\WINDOWS\system32\wgdoor0.dll> 
C:\WINDOWS\system32\wddoor0.dll> 
C:\WINDOWS\system32\qjdoor0.dll> 
C:\WINDOWS\system32\cqdoor0.dll> 
C:\WINDOWS\system32\wldoor0.dll> 
C:\WINDOWS\system32\dadoor0.dll> 
C:\WINDOWS\system32\rxdoor0.dll> 
C:\WINDOWS\system32\csdoor0.dll> 
C:\WINDOWS\system32\zxdoor0.dll>

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

下载次数:141
文件类型:application/octet-stream
文件大小:
上传时间:2007-10-12 10:47:48
描述:

最后编辑2007-10-12 15:17:30
分享到:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 10:49 | 只看楼主 短消息 资料
字号: 2楼

1.5 然后注册表多了些我看不明白的东西(也被我删了):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <PostBootReminder><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows XP Publisher]
    <CDBurn><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows Publisher]
    <WebCheck><%SystemRoot%\system32\webcheck.dll>  [(Verified)Microsoft Windows Publisher]
    <SysTray><C:\WINDOWS\system32\stobject.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    <{438755C2-A8BA-11D1-B96B-00A0C90312E1}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{8C7461EF-2B13-11d2-BE35-3078302C2030}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Windows Publisher]
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 10:51 | 只看楼主 短消息 资料
字号: 3楼

1。6
启动文件夹
[Microsoft Office]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Office.lnk --> D:\PROGRA~1\MICROS~1\Office10\OSA.EXE [Microsoft Corporation]> (安全起见,我也删了)
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 10:55 | 只看楼主 短消息 资料
字号: 4楼

下面说下,这个木马的bt之出。
1 。 干掉瑞星,虽然也不是什么希奇事了;
  应该是C:\WINDOWS\system32\55550.dll 这东西,最早没有的。
2。 那些游戏后面加载除了加载[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks],还在加载鼠标右键菜单,隐藏的,我通过卡卡上网助手看的
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 11:01 | 只看楼主 短消息 资料
字号: 5楼

3,更bt的是把我d/e盘的几乎所有*exe修改

附件附件:

下载次数:289
文件类型:image/pjpeg
文件大小:
上传时间:2007-10-12 11:01:03
描述:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 11:02 | 只看楼主 短消息 资料
字号: 6楼

e盘的

附件附件:

下载次数:269
文件类型:image/pjpeg
文件大小:
上传时间:2007-10-12 11:02:47
描述:
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 11:08 | 只看楼主 短消息 资料
字号: 7楼

整个删注册表,然后删除病毒文件,花了我3,4个小时,到现在我还不知道该拿这些*exe怎么办,现在rav还是有报错(0X000000),看了下论坛的帖子,并没有什么c:\programfile\rising\rav\ws2_32.dll的文件,我瑞星装d盘的,被那东西干掉也可能跟我装在d盘有关

再线求救啊,各位大侠出出招啊,别把我硬盘给格了啊
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-10-12 12:59 | 短消息 资料
字号: 8楼

http://forum.ikaka.com/topic.asp?board=28&artid=8375741参考这个 挂了几天了都
gototop
 
雪山飞云
头像
快乐黄口狮
  • 帖子:196
  • 注册: 2005-04-11
  • 来自:
发表于: 2007-10-12 13:37 | 只看楼主 短消息 资料
字号: 9楼

【回复“newcenturymoon”的帖子】
谢谢斑竹的帖子,可是我的rav还是报错(被感染了,重装都出错,因为没法卸载),所以*exe还是无法修复
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-10-12 13:46 | 短消息 资料
字号: 10楼

去这贴里,下载工具卸载瑞星软件,并手工删除其安装目录下的所有残余文件。

http://forum.ikaka.com/topic.asp?board=201&artid=8378517

再去重装吧。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT