0
点赞
收藏
分享

微信扫一扫

遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等/v2


遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等

endurer 原创
2007-07-18 第2版  补充 Kaspersky  的回复
2007-07-17 第1

有网友的电脑中的卡巴斯基最近经常报告发现病毒,如:
/---
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system63qso.dll 70.2 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system82qso.dll 70.2 KB
感染: 病毒 Virus.Win32.AutoRun.er c:/windows/system32/install.exe 24.5 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.abt c:/windows/system32/rav008c.dat 6.4 KB
---/

让偶通过QQ远程协助。

下载 pe_xscan 扫描 log,不料程序出错,取消列举文件版本信息的选项后,完成扫描。

经分析,发现可疑项(进程模块部分有省略):
/---
pe_xscan 07-06-23 by Purple Endurer
2007-7-17 12:50:49
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

C:/WINDOWS/Explorer.EXE * 1496 | 2004-8-23 16:0:0
    C:/WINDOWS/system32/aetpksw.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/Agent.dll | 2004-8-23 16:0:0

d:/Program Files/Tencent/QQ/TIMPlatform.exe * 1420 | 2006-12-8 20:11:30
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

D:/Program Files/Tencent/QQ/QQ.exe * 2072 | 2006-12-20 12:57:0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

O23 - 服务: ATICDSDr (ATICDSDr) - C:/DOCUME~1/user/LOCALS~1/Temp/{1735A~1/atiicdxx.sys(手动)
O23 - 服务: gwiopm (gwiopm) - F:/新建文件夹/gwiopm.sys | 1998-6-3 13:59:40(手动)
O23 - 服务: New0 (New0) - C:/WINDOWS/system32/new.sys | 2007-5-6 13:10:58(自动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: RemoteDbg (Remote Debug Service) - C:/WINDOWS/system32/rundll32.exe RemoteDbg.dll,input(自动)

O24 - ShlExecHook: [OFFICE] - {13BB17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system63qso.dll
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
O24 - ShlExecHook: [OFFICE] - {13BA17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system82qso.dll
---/

先下载安装瑞星卡卡安全助手,在 高级功能—>插件管理及卸载 里把 3 个 O24 项卸载掉。

到 ​​http://purpleendurer.ys168.com​​ 下载 FreeDLL,bat_do,FileInfo。

用FreeDLL卸载注入系统进程的 Agent.dll 等 DLL,用 FileInfo 提取文件信息,用 bat_do 打包备份。

打开注册表编辑器,准备删除O23的项目时,网友的电脑死机了~

等网友重启电脑后继续。在注册表里把O23的项目都删除了。再用 bat_do 删除  Agent.dll 等文件,结果拒绝访问~

再用 pe_xscan 扫描 log 分析,发现
/---
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
---/
又重生了,而且 aetpksw.dll 等 DLL 又注入了系统进程,用 FreeDLL 卸不完~

这个O24用卡卡安全助手卸载掉后会重生。

把这些文件加入 bat_do,使用延时删除,并生成去除属性、删除和改名命令,下次启动时执行。

用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。

让网友关闭系统还原功能,重启电脑,如果还不能清除,就用IceSword把这些DLL从系统进程中卸载,然后删除,再用卡卡安全助手卸载O24。

部分文件信息:

文件说明符 : C:/WINDOWS/system32/aetpksw.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-23 16:0:0
修改时间 : 2004-8-23 16:0:0
访问时间 : 2007-7-17 0:0:0
大小 : 19538 字节 19.82 KB
MD5 : 16b524ab36cb7ef7c0a849581dce56d7

瑞星报为 Trojan.PSW.Win32.Agent.qg

主 题:

RE: aetpksw.dll [KLAB-2451058]

  发件人:

"" <newvirus@kaspersky.com> 

发送时间:2007-07-18 00:36:32

Hello,


aetpksw.dll -

Trojan-PSW.Win32.OnLineGames.wy

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.


Please quote all when answering.


--


Best regards, Denis Maslennikov


Virus analyst, Kaspersky Lab.



e-mail:

​​newvirus@kaspersky.com​


​​http://www.kaspersky.com/​​

文件

C:/WINDOWS/system32/wkjhl.dll
C:/WINDOWS/system32/wlkhm.dll
C:/WINDOWS/system32/hytsx.dll
C:/WINDOWS/system32/wiytd.dll
C:/WINDOWS/system32/zeqax.dll
C:/WINDOWS/system32/Agent.dll

均与 C:/WINDOWS/system32/aetpksw.dll 相同。

文件说明符 : D:/test/New.sys
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-17 21:2:27
修改时间 : 2007-5-6 13:10:58
访问时间 : 2007-7-17 0:0:0
大小 : 1880 字节 1.856 KB
MD5 : 79b0dd5f393c132f7a84b7dbf85a9f40

File: new.sys

Status: INFECTED/MALWARE

MD5: 79b0dd5f393c132f7a84b7dbf85a9f40

Packers detected:-

Bit9 reports: File not found

Scan taken on 17 Jul 2007 13:02:40 (GMT)

A-Squared

Found nothing

AntiVir

Found CC/1000.BD

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found Generic.OFE

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

Panda Antivirus

Found Generic

Rising Antivirus

Found nothing

Sophos Antivirus

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

举报

相关推荐

0 条评论