[07-19] 解决灰鸽子新变种、Rootkit.Vanti.gen等及www.58111.com劫持(第5版)

本文记录了一次清除复杂恶意软件的过程,包括Rootkit.Vanti.gen、Backdoor.Gpigeon等,采用瑞星及Kaspersky进行扫描修复,并详细记录了各阶段的处理步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

endurer 原创

2006-07-19 第5版 补充杀毒软件的反应。
2006-07-17 第4版 补充杀毒软件的反应。
2006-07-14 第3版 补充杀毒软件的反应。
2006-07-13 第2版 补充杀毒软件的反应,在该网友电脑的其它盘发现的恶意程序。
2006-07-12 第1

  昨天有网友说他的电脑中的瑞星每次开机自动扫描总是报告发现灰鸽子,实时监控总发现并成功删除Rootkit.Vanti.gen的文件C:/WINDOWS/Tempkqmbz78.dll。

如:
--------------------------------------------------------------------
07-11
病毒名称 处理结果 扫描方式路径文件
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll
Exploit.VBS.Phel.z 跳过脚本 网页/脚本监控C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp375264042664.tmp
Exploit.VBS.Phel.z 重新启动计算机后删除文件文件监控C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/H9CE4RPYbbs[1].htm
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll
Trojan.DL.Small.mjr 删除成功 文件监控C:/System Volume Information/_restore{E636C2E6-57A1-4711-9BF0-6BE15D9B34BF}/RP26A0007562.dll
Rootkit.Vanti.gen 删除成功 文件监控C:/WINDOWS/Tempkqmbz78.dll

--------------------------------------------------------------------

并且IE首页被强行设置为 hxxp://www.58111.com

通过QQ远程协助,先到http://endurer.ys168.com下载了HijackThis“下次启动时自动删除文件”程序(Auto_del.rar)。

使用HijackThis扫描简明log,发现如下可疑项目:

--------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 20:46:10, on 2006-7-11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)


O2 - BHO: (no name) - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:/WINDOWS/system32/ssup.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:/WINDOWS/system32/HelperService.dll
O3 - Toolbar: 系统标准按钮(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:/WINDOWS/system32/SystemToolbar.dll

O23 - Service: System Event Log Service (SystemLog) - WWW.HUIGEZI.NET - C:/WINDOWS/system32/shellext/services.exe
O23 - Service: Windows XP Vista - Unknown owner - C:/WINDOWS/fish.exe

--------------------------------------------------------------------

修复过程如下(相关操作方法可参考:【系统修复系列之】基本操作索引 ):

1、停止并禁用系统服务:

System Event Log Service (SystemLog)
Windows XP Vista

2、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Service,找到并删除 System Event Log Service (SystemLog) 和 Windows XP Vista 子键。


3、使用WinRAR找到下列文件并打包备份,并删除:

C:/WINDOWS/system32/ssup.dll
C:/WINDOWS/system32/HelperService.dll
C:/WINDOWS/system32/SystemToolbar.dll
C:/WINDOWS/system32/shellext/services.exe
C:/WINDOWS/fish.exe

/******************************************************************
07-13 第2版补充:
Kaspersky将 services.exefish.exe 报为 Backdoor.Win32.Hupigon.btb

主 题:病毒上报邮件分析结果-流水单号:2969997
发件人:""<send@rising.net.cn发送时间:2006-07-13 20:39:41

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:fish.exe
病毒名: Backdoor.Gpigeon.zjn
我们将在较新的18.35.40版本中处理解决,请您届时将您的瑞星软件升级到18.35.40版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。

主 题:病毒上报邮件分析结果-流水单号:2970004
发件人:""<send@rising.net.cn发送时间:2006-07-13 20:49:54

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:services.exe
病毒名: Backdoor.Gpigeon.ziu

我们将在较新的18.35.40版本中处理解决,请您届时将您的瑞星软件升级到18.35.40版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
******************************************************************/

/******************************************************************
07-17 第4版补充:
Kaspersky将 SystemToolbar.dll 报为 Trojan-Clicker.Win32.Delf.dn

******************************************************************/

/******************************************************************
07-19 第5版补充:
Kaspersky将 HelperService.dll 报为 not-a-virus:AdWare.Win32.Delf.g

******************************************************************/

4、关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在上列可疑项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理)。


5、另外在C:/发现可疑文件 internat.exe, infoser.hta 和 autoexec.com,也用WinRAR打包备份,并删除。

/******************************************************************
07-13 第2版补充:
Kaspersky将 internat.exe 报为 Trojan-Downloader.Win32.Delf.aqv
Kaspersky将 AUTOEXEC.com 报为 Trojan-Downloader.Win32.Small.dfh
******************************************************************/

/******************************************************************
07-17 第4版补充:

主 题:病毒上报邮件分析结果-流水单号:2970024
发件人:""<send@rising.net.cn发送时间:2006-07-17 17:36:42

尊尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:AUTOEXEC.COM
病毒名: Trojan.DL.Small.mse

2.文件名:infoser.hta
不是病毒

3.文件名:internat.exe
病毒名: Trojan.DL.Direct.u

我们将在较新的18.36.2版本中处理解决,请您届时将您的瑞星软件升级到18.36.2版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。

******************************************************************/

6、清空IE临时文件夹和Windows临时文件夹(c:/windows/temp)

7、关闭系统还原功能再打开。

8、使用瑞星注册表修复工具,把IE首页修复为about:blank。

9、使用Kaspersky的在线扫描功能扫描C盘,又发现一个:


C:/Program Files/Internet Explorer/PLUGINS/new123.sysInfected: Trojan-PSW.Win32.QQGame.mskipped

/******************************************************************
07-14第3版补充:

主 题:病毒上报邮件分析结果-流水单号:2978259
发件人:""<send@rising.net.cn> <script language="JavaScript" type="text/javascript"> <!-- var aAddAdress = document.getElementById("aAddAdress"); aAddAdress.href = document.guideform.guidelinks.options[5].value; var aDeleteAdress = document.getElementById("aDeleteAdress"); aDeleteAdress.href = document.guideform.guidelinks.options[4].value; document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[5]); document.guideform.guidelinks.removeChild(document.guideform.guidelinks.options[4]); //--> </script>发送时间:2006-07-14 20:26:10

尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:new123.sys
病毒名:Trojan.PSW.QQPass.pmo

我们将在较新的18.36.0版本中处理解决,请您届时将您的瑞星软件升级到18.36.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。******************************************************************/

也用WinRAR打包备份,但无法直接删除,运行“下次启动时自动删除文件”程序auto_del.exe,把new123.sys从WinRAR窗口拖到auto_del窗口,点击“改所有文件名”和“下次启动时删除”按钮。

  今天中午,该网友在QQ上说,今天瑞星不再捍示发现灰鸽子和Rootkit.Vanti.gen了。他用Kaspersky的在线扫描功能扫描其它盘,又发现一些病毒:

---------------------------------------------------------

E:/Documents and Settings/Owner/Local Settings/Temporary Internet Files/Content.IE5/D8YUFA9D/open_01[1].jsInfected: Trojan-Downloader.JS.IstBar.aiskipped
F:/Documents and Settings/Owner/Local Settings/Temporary Internet Files/Content.IE5/BKL9NCC8/wintest[1].jsInfected: Trojan-Downloader.JS.IstBar.aiskipped
F:/Documents and Settings/j/Local Settings/Temp/kucosetupno3.exe/WISE0009.BINInfected: Trojan-Downloader.Win32.Small.davskipped
F:/Documents and Settings/j/Local Settings/Temp/kucosetupno3.exeWiseSFX: infected - 1skipped
F:/Program Files/office/office/3721.exeInfected: Trojan-Clicker.Win32.VB.lcskipped
F:/Program Files/office/office/ad1.exeInfected: Trojan-Clicker.Win32.VB.lcskipped
F:/Program Files/office/office/ad3.exeInfected: Trojan-Clicker.Win32.VB.lcskipped
F:/Program Files/office/office/ad5.exeInfected: Trojan-Clicker.Win32.VB.lcskipped
F:/Program Files/office/office/system.exeInfected: Trojan-Clicker.Win32.VB.maskipped
F:/Program Files/ftc/fygPlugins.exeInfected: Backdoor.Win32.Agent.abuskipped

---------------------------------------------------------

也通过QQ远程协助处理了。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值