遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等/v2-CFANZ编程社区

遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等

endurer 原创
2007-07-18 第2版补充 Kaspersky 的回复
2007-07-17 第1版

有网友的电脑中的卡巴斯基最近经常报告发现病毒，如：
/---
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system63qso.dll 70.2 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system82qso.dll 70.2 KB
感染: 病毒 Virus.Win32.AutoRun.er c:/windows/system32/install.exe 24.5 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.abt c:/windows/system32/rav008c.dat 6.4 KB
---/

让偶通过QQ远程协助。

下载 pe_xscan 扫描 log，不料程序出错，取消列举文件版本信息的选项后，完成扫描。

经分析，发现可疑项（进程模块部分有省略）：
/---
pe_xscan 07-06-23 by Purple Endurer
2007-7-17 12:50:49
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

C:/WINDOWS/Explorer.EXE * 1496 | 2004-8-23 16:0:0
    C:/WINDOWS/system32/aetpksw.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/Agent.dll | 2004-8-23 16:0:0

d:/Program Files/Tencent/QQ/TIMPlatform.exe * 1420 | 2006-12-8 20:11:30
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

D:/Program Files/Tencent/QQ/QQ.exe * 2072 | 2006-12-20 12:57:0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

O23 - 服务: ATICDSDr (ATICDSDr) - C:/DOCUME~1/user/LOCALS~1/Temp/{1735A~1/atiicdxx.sys(手动)
O23 - 服务: gwiopm (gwiopm) - F:/新建文件夹/gwiopm.sys | 1998-6-3 13:59:40(手动)
O23 - 服务: New0 (New0) - C:/WINDOWS/system32/new.sys | 2007-5-6 13:10:58(自动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: RemoteDbg (Remote Debug Service) - C:/WINDOWS/system32/rundll32.exe RemoteDbg.dll,input(自动)

O24 - ShlExecHook: [OFFICE] - {13BB17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system63qso.dll
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
O24 - ShlExecHook: [OFFICE] - {13BA17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system82qso.dll
---/

先下载安装瑞星卡卡安全助手，在高级功能—＞插件管理及卸载里把 3 个 O24 项卸载掉。

到 http://purpleendurer.ys168.com 下载 FreeDLL，bat_do，FileInfo。

用FreeDLL卸载注入系统进程的 Agent.dll 等 DLL，用 FileInfo 提取文件信息，用 bat_do 打包备份。

打开注册表编辑器，准备删除O23的项目时，网友的电脑死机了~

等网友重启电脑后继续。在注册表里把O23的项目都删除了。再用 bat_do 删除 Agent.dll 等文件，结果拒绝访问~

再用 pe_xscan 扫描 log 分析，发现
/---
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
---/
又重生了，而且 aetpksw.dll 等 DLL 又注入了系统进程，用 FreeDLL 卸不完~

这个O24用卡卡安全助手卸载掉后会重生。

把这些文件加入 bat_do，使用延时删除，并生成去除属性、删除和改名命令，下次启动时执行。

用 WinRAR 删除 Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

让网友关闭系统还原功能，重启电脑，如果还不能清除，就用IceSword把这些DLL从系统进程中卸载，然后删除，再用卡卡安全助手卸载O24。

部分文件信息：

文件说明符 : C:/WINDOWS/system32/aetpksw.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-23 16:0:0
修改时间 : 2004-8-23 16:0:0
访问时间 : 2007-7-17 0:0:0
大小 : 19538 字节 19.82 KB
MD5 : 16b524ab36cb7ef7c0a849581dce56d7

瑞星报为 Trojan.PSW.Win32.Agent.qg

主　题：	RE: aetpksw.dll [KLAB-2451058]
发件人：	"" <newvirus@kaspersky.com>	发送时间：2007-07-18 00:36:32

Hello,

aetpksw.dll -

Trojan-PSW.Win32.OnLineGames.wy

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.

Best regards, Denis Maslennikov

Virus analyst, Kaspersky Lab.

e-mail:

newvirus@kaspersky.com

http://www.kaspersky.com/

文件

C:/WINDOWS/system32/wkjhl.dll
C:/WINDOWS/system32/wlkhm.dll
C:/WINDOWS/system32/hytsx.dll
C:/WINDOWS/system32/wiytd.dll
C:/WINDOWS/system32/zeqax.dll
C:/WINDOWS/system32/Agent.dll

均与 C:/WINDOWS/system32/aetpksw.dll 相同。

文件说明符 : D:/test/New.sys
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-17 21:2:27
修改时间 : 2007-5-6 13:10:58
访问时间 : 2007-7-17 0:0:0
大小 : 1880 字节 1.856 KB
MD5 : 79b0dd5f393c132f7a84b7dbf85a9f40

File: new.sys

Status: INFECTED/MALWARE

MD5: 79b0dd5f393c132f7a84b7dbf85a9f40

Packers detected:-

Bit9 reports: File not found

Scan taken on 17 Jul 2007 13:02:40 (GMT)
A-Squared	Found nothing
AntiVir	Found CC/1000.BD
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found Generic.OFE
BitDefender	Found nothing
ClamAV	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Fortinet	Found nothing
Kaspersky Anti-Virus	Found nothing
NOD32	Found nothing
Norman Virus Control	Found nothing
Panda Antivirus	Found Generic
Rising Antivirus	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing