赞
踩
endurer 原创
2006-07-25 第2、3版 补充杀毒软件的反应
2006-07-24 第1版
一位网友说的他电脑中的IE窗口莫名其妙地跑出来许多工具栏,而且江民KV开机自动扫描发现病毒。让我帮忙清理一下。
该网友电脑使用的是windows 2000 Pro SP4。先看了一下江民的开机自动扫描记录:
病毒TrojanDownloader.Agent.aeg(http://virusinfo.jiangmin.com/infomation/200672495427.html)对应的文件名是文件名 c:/winnt/system32/VIPTray.exe。
瑞星将 c:/winnt/system32/VIPTray.exe 报为:Trojan.DL.AdLoad.jh。
打开c:/winnt/system32文件夹,江民KV文件监控报告:c:/winnt/system32/cns.exe感染了病毒Trojan/Agent.vf(http://virusinfo.jiangmin.com/infomation/200672111928.html)。
晕!江民KV开机自动扫描怎么没发现,现在才报告?
关闭江民KV的所有监控,不然在把病毒文件打包时会出问题。
把 c:/winnt/system32/cns.exe 和 c:/winnt/system32/VIPTray.exe 把包备份后删除。
开始-->控制面板-->添加删除程序
居然有N多的流氓软件栖息在这里,如雅虎助手、天下搜索、Desktop、百度搜霸、百狗搜索、中文上网、易虎……。
都卸掉了。
重新打开江民KV监控。
用Hijackis扫描log,发现如下可疑项目:
-----------
F2 - REG:system.ini: UserInit=C:/WINNT/system32/userinit.exe,C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/lbjadcn.exe
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:/PROGRA~1/DESKAD~1/deskipn.dll (file missing)
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:/WINNT/system32/WinDefendor.dll
O2 - BHO: 网络加速 - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:/WINNT/system32/wuwebex.dll
O2 - BHO: bg - {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} - (no file)
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:/WINNT/Downloaded Program Files/CONFLICT.1/barhelp24.0.dll
O4 - 启动项HKCU//Run: [Syss] C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe
O4 - 启动项HKCU//Run: [MyShares] c:/program Files/易虎/MyShares.exe /tray
O4 - 启动项HKCU//Run: [msnnt] C:/WINNT/mcUpdate.exe
O4 - Global Startup: IE-BAR.lnk = C:/WINNT/system32/rundll32.exe
O9 - 浏览器额外的按钮: test3 - {1FBA04EE-3024-11D2-8F1F-0000F87ABD38} - D:/Windows-KB886590-ENU-V1.1.exe (file missing)
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
-----------
其中文件:
-----------
C:/Documents and Settings/All Users/Application Data/Microsoft/Crypto/lbjadcn.exe
C:/WINNT/mcUpdate.exe
D:/Windows-KB886590-ENU-V1.1.exe
-----------
已不存在。
但在 C:/WINNT/system32/drivers/mcq 文件夹里发现了:
-----------
2006-04-19 15:38 0 adout.dat
2006-04-18 02:29 20,480 adout.exe
2006-06-21 02:27 40,960 mcUpdate.exe
2006-04-18 02:25 46 up.dat
2006-04-18 02:29 169 verx.dat
5 个文件 61,655 字节
-----------
Kaspersky 把 mcUpdate.exe 报为 Trojan-Downloader.Win32.Agent.apu
瑞星 把 mcUpdate.exe 报为 Trojan.DL.Agent.kbp
江民KV 把 mcUpdate.exe 报为 TrojanDownloader.Agent.aec (http://virusinfo.jiangmin.com/infomation/2006721101151.html)。
需要注意的是:McAfee网络安全套装中,负责连接 到McAfee服务器进行病毒特征库升级的程序文件名也是mcupdate.exe,不要弄混了。
用winRAR找到文件:
-----------
C:/WINNT/system32/WinDefendor.dll
C:/WINNT/system32/wuwebex.dll
C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe
-----------
打包备份,但只能删除:C:/DOCUME~1/ADMINI~1.HCN/LOCALS~1/Temp/ehuupdate.exe
Kaspersky 将 C:/WINNT/system32/WinDefendor.dll 报为:not-a-virus:AdWare.Win32.dm.m
Kaspersky 将 C:/WINNT/system32/wuwebex.dll 报为:not-a-virus:AdWare.Win32.Accelerator.e
而
-----------
C:/WINNT/system32/WinDefendor.dll
C:/WINNT/system32/wuwebex.dll
-----------
不能删除也不能改名。
还好,以前用的IceSword 1.12还在。
运行IceSword 1.12,发现这两个DLL注入到了explorer.exe 进程中,把wuwebex.dllunload后,移动到 c:/temp 文件夹中,以便分析。
但在unload WinDefendor.dll 时,系统提示 explorer.exe 进程出错。IceSword1.12 无法再查看 explorer.exe 进程的模块信息,重新启动 IceSword 1.12,发现不仅 WinDefendor.dll 还在注入 explorer.exe 进程中,而被转移到c:/temp 文件夹中的 wuwebex.dll 也注入到 explorer.exe 进程来了。晕!
Uload WinDefendor.dll 几次都出错。
到http://endurer.ys168.com下载下次启动时自动删除文件程序auto_del.rar,解压并运行auto_del.exe,把 C:/WINNT/system32/WinDefendor.dll 从winRAR程序窗口拖到 auto_del.exe 程序窗口,然后点击“下次启动时删除”按钮。
接着用记事本编辑 auto_del.exe 生成的 bat 文件,把删除命令del改成重命名命令ren。
关闭所有浏览器窗口和文件夹窗口,用HijackThis修复上面所列的可疑项目。
在 c:/program files 文件夹里发现 HuaCi、Searchnet、IE-Bar 等文件夹,也卸载和删除了。
想把几个可疑文件上报给瑞星,但打不开网页!但可以ping通www.163.com等网站,说明网络连接是正常的。晕!
重启电脑后,可以正常打开网页了。怀疑刚才打不开网页,是江民KV的网页监控引起的。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。