endurer 原创
2007-04-02 第1版
昨天,一位网友说他的电脑中了病毒Trojan-PSW.Win32.OnLineGames.jj等,Kaspersky 6杀不了,让偶帮忙处理。
到他家时,他正在用Kaspersky 6全面扫描,发现一些病毒,弹出询问提示框,还没等我们选择处理方式,就关闭了。
扫描完成后,系统自动重启。
选择带网络连接的安全模式,启动Kaspersky 6,导出查杀记录如下:
/---
007-4-1 12:52:50 文件 C:\SysWsj7\Ghook.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.jj
2007-4-1 12:52:51 文件 C:\SysWsj7\Ghook.dll: 未清除, 被用户跳过
2007-4-1 12:52:51 文件 C:\Syswm1i\Ghook.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:52:51 文件 C:\Syswm1i\Ghook.dll: 未清除, 被用户跳过
2007-4-1 12:52:52 文件 C:\DOCUME~1\rd\LOCALS~1\Temp\LgSy0.dll/UPX: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.ky
2007-4-1 12:52:53 文件 C:\DOCUME~1\rd\LOCALS~1\Temp\LgSy0.dll/UPX: 未清除, 被用户跳过
2007-4-1 12:52:58 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:52:58 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:52:59 文件 c:\windows\wsttrs.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:00 文件 c:\windows\wsttrs.exe: 未清除, 被用户跳过
2007-4-1 12:53:01 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:02 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:04 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:04 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:05 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:05 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:10 文件 c:\syswm1i\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:10 文件 c:\syswm1i\svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:10 文件 c:\systx4\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:11 文件 c:\systx4\svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:11 文件 c:\syswsj7\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:11 文件 c:\syswsj7\svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:28 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:28 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:32 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:33 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:34 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:35 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:48 文件 C:\WINDOWS\wsttrs.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:48 文件 C:\WINDOWS\wsttrs.exe: 未清除, 被用户跳过
2007-4-1 12:53:49 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:49 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:49 文件 C:\Syswm1i\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:49 文件 C:\Syswm1i\svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:51 文件 C:\SysTx4\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:51 文件 C:\SysTx4\svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:51 文件 C:\SysWsj7\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:52 文件 C:\SysWsj7\svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:55 文件 C:\WINDOWS\system32\wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:55 文件 C:\WINDOWS\system32\wsttrs.dll: 未清除, 被用户跳过
2007-4-1 13:25:25 已经检测到安全威胁。建议您立即处理它们。
2007-4-1 13:25:35 文件 c:\windows\wsttrs.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 13:25:35 文件 c:\windows\wsttrs.exe: 未清除, 推迟
2007-4-1 13:26:01 文件 c:\syswm1i\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 13:26:01 文件 c:\syswm1i\svchost.exe: 未清除, 推迟
2007-4-1 13:26:01 文件 c:\systx4\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 13:26:01 文件 c:\systx4\svchost.exe: 未清除, 推迟
2007-4-1 13:26:01 文件 c:\syswsj7\svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 13:26:01 文件 c:\syswsj7\svchost.exe: 未清除, 推迟
---/
看到wsttrs.exe,觉得与中了Viking相似,打开Maxthon准备下载pe_xscan,居然出错……
打开资源管理器,到江民网站下载并运行熊猫烧香专杀工具,果然发现并清除了几个病毒……
再用Kaspersky扫描,全部查杀……
下载pe_xscan扫描 log,并用网页进行分析,发现如下可疑项:
/---
pe_xscan 07-03-17 by Purple Endurer
2007-4-1 12:56:24
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O2 - BHO - {C64E4E3D-AAA0-4081-B6A7-22A40AFBFD35} - C:\WINDOWS\system32\rs.obj
O4 - HKCR\..\Run: [4hxdww36r] C:\DOCUME~1\user\LOCALS~1\Temp\rundl132.exe
O4 - HKCR\..\Run: [d7y2j8c2xj09c] C:\DOCUME~1\user\LOCALS~1\Temp\iexpl0re.exe
O4 - HKCR\..\Policies\Explorer\Run: [333] C:\Syswm1i\svchost.exe
O4 - HKCR\..\Policies\Explorer\Run: [tx] C:\SysTx4\svchost.exe
O4 - HKCR\..\Policies\Explorer\Run: [4] C:\SysWsj7\svchost.exe
O4 - HKLM\..\Run: [wsttrs] C:\WINDOWS\wsttrs.exe
O23 - 服务: aejghiih (aejghiih) - C:\WINDOWS\system32\drivers\aejghiih.sys(系统)
O23 - 服务: afecehah (afecehah) - C:\WINDOWS\system32\drivers\afecehah.sys(系统)
O23 - 服务: ajghfhfc (ajghfhfc) - C:\WINDOWS\system32\drivers\ajghfhfc.sys(系统)
O23 - 服务: ajhjiicj (ajhjiicj) - C:\WINDOWS\system32\drivers\ajhjiicj.sys(系统)
O23 - 服务: ajjbfbhc (ajjbfbhc) - C:\WINDOWS\system32\drivers\ajjbfbhc.sys(系统)
O23 - 服务: bababeid (bababeid) - C:\WINDOWS\system32\drivers\bababeid.sys(系统)
O23 - 服务: bbjgcadd (bbjgcadd) - C:\WINDOWS\system32\drivers\bbjgcadd.sys(系统)
O23 - 服务: bgcefdad (bgcefdad) - C:\WINDOWS\system32\drivers\bgcefdad.sys(系统)
O23 - 服务: bghfbifc (bghfbifc) - C:\WINDOWS\system32\drivers\bghfbifc.sys(系统)
O23 - 服务: bjdjaehj (bjdjaehj) - C:\WINDOWS\system32\drivers\bjdjaehj.sys(系统)
O23 - 服务: cabgbgdg (cabgbgdg) - C:\WINDOWS\system32\drivers\cabgbgdg.sys(系统)
O23 - 服务: cdhcjiig (cdhcjiig) - C:\WINDOWS\system32\drivers\cdhcjiig.sys(系统)
O23 - 服务: cejcgacb (cejcgacb) - C:\WINDOWS\system32\drivers\cejcgacb.sys(系统)
O23 - 服务: cgfcdege (cgfcdege) - C:\WINDOWS\system32\drivers\cgfcdege.sys(系统)
O23 - 服务: ClipArt (System Administrator) - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\WINDOWS\system32\mssapi.dll(自动)
O23 - 服务: daadcdhg (daadcdhg) - C:\WINDOWS\system32\drivers\daadcdhg.sys(系统)
O23 - 服务: dacihabb (dacihabb) - C:\WINDOWS\system32\drivers\dacihabb.sys(系统)
O23 - 服务: dafecjbi (dafecjbi) - C:\WINDOWS\system32\drivers\dafecjbi.sys(系统)
O23 - 服务: dagjgidg (dagjgidg) - C:\WINDOWS\system32\drivers\dagjgidg.sys(系统)
O23 - 服务: dbafijjb (dbafijjb) - C:\WINDOWS\system32\drivers\dbafijjb.sys(系统)
O23 - 服务: ddfedbff (ddfedbff) - C:\WINDOWS\system32\drivers\ddfedbff.sys(系统)
O23 - 服务: dfceeghb (dfceeghb) - C:\WINDOWS\system32\drivers\dfceeghb.sys(系统)
O23 - 服务: dgdgehec (dgdgehec) - C:\WINDOWS\system32\drivers\dgdgehec.sys(系统)
O23 - 服务: dhdidccf (dhdidccf) - C:\WINDOWS\system32\drivers\dhdidccf.sys(系统)
O23 - 服务: dihhdegj (dihhdegj) - C:\WINDOWS\system32\drivers\dihhdegj.sys(系统)
O23 - 服务: eghhefja (eghhefja) - C:\WINDOWS\system32\drivers\eghhefja.sys(系统)
O23 - 服务: fafdedai (fafdedai) - C:\WINDOWS\system32\drivers\fafdedai.sys(系统)
O23 - 服务: fcaacjfg (fcaacjfg) - C:\WINDOWS\system32\drivers\fcaacjfg.sys(系统)
O23 - 服务: fcfbhieb (fcfbhieb) - C:\WINDOWS\system32\drivers\fcfbhieb.sys(系统)
O23 - 服务: fcfdhbje (fcfdhbje) - C:\WINDOWS\system32\drivers\fcfdhbje.sys(系统)
O23 - 服务: fdjiibej (fdjiibej) - C:\WINDOWS\system32\drivers\fdjiibej.sys(系统)
O23 - 服务: fejfecca (fejfecca) - C:\WINDOWS\system32\drivers\fejfecca.sys(系统)
O23 - 服务: fgjecjib (fgjecjib) - C:\WINDOWS\system32\drivers\fgjecjib.sys(系统)
O23 - 服务: gafdbgfi (gafdbgfi) - C:\WINDOWS\system32\drivers\gafdbgfi.sys(系统)
O23 - 服务: gbdjiihc (gbdjiihc) - C:\WINDOWS\system32\drivers\gbdjiihc.sys(系统)
O23 - 服务: gfjdjggi (gfjdjggi) - C:\WINDOWS\system32\drivers\gfjdjggi.sys(系统)
O23 - 服务: hacjeihb (hacjeihb) - C:\WINDOWS\system32\drivers\hacjeihb.sys(系统)
O23 - 服务: hcfcjeef (hcfcjeef) - C:\WINDOWS\system32\drivers\hcfcjeef.sys(系统)
O23 - 服务: heabeejj (heabeejj) - C:\WINDOWS\system32\drivers\heabeejj.sys(系统)
O23 - 服务: heefjecd (heefjecd) - C:\WINDOWS\system32\drivers\heefjecd.sys(系统)
O23 - 服务: heeghdif (heeghdif) - C:\WINDOWS\system32\drivers\heeghdif.sys(系统)
O23 - 服务: hefceagi (hefceagi) - C:\WINDOWS\system32\drivers\hefceagi.sys(系统)
O23 - 服务: hfdjibij (hfdjibij) - C:\WINDOWS\system32\drivers\hfdjibij.sys(系统)
O23 - 服务: hgahecag (hgahecag) - C:\WINDOWS\system32\drivers\hgahecag.sys(系统)
O23 - 服务: ibfgedig (ibfgedig) - C:\WINDOWS\system32\drivers\ibfgedig.sys(系统)
O23 - 服务: idadigbd (idadigbd) - C:\WINDOWS\system32\drivers\idadigbd.sys(系统)
O23 - 服务: iejdecgb (iejdecgb) - system32\drivers\iejdecgb.sys(引导)
O23 - 服务: igghebdb (igghebdb) - C:\WINDOWS\system32\drivers\igghebdb.sys(系统)
O23 - 服务: jabebafa (jabebafa) - C:\WINDOWS\system32\drivers\jabebafa.sys(系统)
O23 - 服务: jacdbidg (jacdbidg) - C:\WINDOWS\system32\drivers\jacdbidg.sys(系统)
O23 - 服务: jaiajbbe (jaiajbbe) - C:\WINDOWS\system32\drivers\jaiajbbe.sys(系统)
O23 - 服务: jchggedh (jchggedh) - C:\WINDOWS\system32\drivers\jchggedh.sys(系统)
O23 - 服务: jdccjadf (jdccjadf) - C:\WINDOWS\system32\drivers\jdccjadf.sys(系统)
O23 - 服务: jffbdggd (jffbdggd) - C:\WINDOWS\system32\drivers\jffbdggd.sys(系统)
O23 - 服务: jffbiaii (jffbiaii) - C:\WINDOWS\system32\drivers\jffbiaii.sys(系统)
O23 - 服务: jhbgchcg (jhbgchcg) - C:\WINDOWS\system32\drivers\jhbgchcg.sys(系统)
O23 - 服务: jjeeceic (jjeeceic) - C:\WINDOWS\system32\drivers\jjeeceic.sys(系统)
O23 - 服务: New0 (New0) - C:\WINDOWS\System32\new.sys 2005-5-4 0:55:22(自动)
O23 - 服务: NPF (Netgroup Packet Filter) - system32\drivers\npf.sys WinPcap Netgroup Packet Filter Driver 3, 1, 0, 23 npf Copyright ? 1999-2004 3, 1, 0, 23 NetGroup - Politecnico di Torino NPF + TME npf.sys(手动)
O23 - 服务: UpdateService (UpdateService) - C:\WINDOWS\system32\UpdateService.exe(禁用)
O23 - 服务: VIPTray (VIPTray) - C:\WINDOWS\System32\VIPTray.exe(禁用)
---/
到 http://endurer.ys168.com 下载HijackThis进行修复。
其中
O4 - HKCR\..\Policies\Explorer\Run: [333] C:\Syswm1i\svchost.exe
O4 - HKCR\..\Policies\Explorer\Run: [tx] C:\SysTx4\svchost.exe
O4 - HKCR\..\Policies\Explorer\Run: [4] C:\SysWsj7\svchost.exe
HijackThis 1.99.1 不能修复,可以用瑞星卡卡安全助手来取消。
近期发现不少病毒会搜索Kaspersky、瑞星发现病毒后的询问提示窗口,并模拟发送按键来取消或跳过查杀。
所以最好把杀毒软件发现病毒时的设置方式设置为直接清除。
没有评论:
发表评论