遭遇Trojan.Alipop,microinfo.dll,gofwk.pic,game.dll,qpjmy.exe,nnaa.exe,SafeDrv.exe等2

于 2010-06-26 10:03:00 发布
阅读量425 收藏
点赞数
文章标签: 操作系统 网络
本文深入分析了一台遭受复杂病毒攻击的电脑,详细记录了解救过程,包括病毒的传播方式、系统文件的篡改、注册表项的注入、恶意进程的启动,以及如何使用DrWebCureIt!进行病毒查杀。文章强调了通过下载特定工具、修复LSP、删除恶意文件和启动项、清理autorun.inf等方式,最终成功恢复电脑的正常运行。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  在分析log的过程中,下载DrWeb CureIt!,重启电脑想进安全模式查杀,结果在启动过程中蓝屏,看来是被恶意程序破坏了,只好拔出网线,在正常模式下查杀病毒。

  从pe_xscan的log上看,朋友的电脑装了N多的垃圾软件,如百度搜霸、雅虎助手、中文上网2007、Coopen播放器等,估计都是安装某些软件时不小心装上的。

F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe C:/WINDOWS/system32/wbem/360tray.exe

  假冒360卫士文件的360tray.exe利用userinit.exe来启动。

  从log上可以看到有许多恶意文件在版本信息里假冒瑞星和360卫士的文件。

  O2组列出了IE加载项,其中比较难处理的是:

O2 - IeAddOn(HkcuExSt) - - {296AB1B8-FB22-4D17-8834-064E2BA0A6F0} = C:/WINDOWS/UoDo/game.dll|2007-9-18 19:37:34

O2 - IeAddOn(HkcuExSt) - - {57CC5BE6-65FB-4533-B5C3-11DF00ACC50B} = C:/WINDOWS/system32/nsDk.dll

  O4组列出了通过注册表的run键和开始菜单启动文件夹启动的项目。

  恶意程序还在每个盘下创建autorun.inf来启动恶意程序SafeDrv.exe。

O10 - LSP: MSAFD Tcpip [TCP/IP] = C:/WINDOWS/system32/microinfo/microinfo.dll|2010-6-21 14:10:33

  在LSP上插入了microinfo.dll来限止杀毒网站的打开。删除microinfo.dll会导致网页打不开,需要用WinSockFix之类的软件来修复LSP。

O22 - SharedTaskScheduler: (ATlMy Class) - {C4560D12-CE25-4A2E-A5D4-B5070FCBE282} = C:/WINDOWS/System32/dysgn.dll

  利用这种方式来启动的恶意程序比较少见。

  O23组 报告系统服务和驱动。其中

O23 - 服务: HidServ (Human Interface Device Access) - C:/WINDOWS/System32/svchost.exe -k netsvcs
  -> C:/PROGRA~1/qteri/gwrcd.biz|2010-6-21 13:20:7(自动)

O23 - 服务: Messenger (Messenger) - C:/WINDOWS/system32/svchost.exe-k netsvcs
  -> C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic(自动)

都是直接修改了Windows系统服务调用的文件。

O24组报告了explorer的执行挂钩程序,这是恶意程序经常使用的。

O26组报告的是映像劫持技术。这是恶意程序阻止杀毒软件等系统防护软件启动常用的方法。

O29组报告的是IE的起始页、搜索页的设置。

DrWeb CureIt!查杀结果如下:

=========================
综合统计
=========================
已扫描对象: 14128
受感染对象: 108
受变种感染对象: 0
可疑对象: 2
广告软件: 1
拨号软件: 0
恶作剧程序: 0
风险程序: 0
黑客工具: 0
已修复: 22
已删除: 51
已重命名: 0
已隔离: 37
已忽略: 0
扫描速度: 840 Kb/s
扫描时间: 0:40:26
=========================

DrWeb CureIt!检测到了:

Master Boot Record HDD1 已被病毒感染 : Trojan.Alipop.5

Google了一下,这个东东被国外网友称为:Chinese "bootkit" 。

  到http://tool.ikaka.com下载、安装卡卡安全助手。

  到http://purpleendurer.168.com下载 IEFO_Man,删除O26 组中RA开头的项目,这些是阻止瑞星软件启动的,这样就可以启动卡卡安全助手了。系统修复,查杀流氓软件,清理启动项。删除各盘上的autorun.inf和SafeDrv.exe,以及桌面上的广告图标。用IEFO_Man把SafeDrv.exe、fbes.exe、188d.exe、nnaa.exe、system32Antihhlul.exe等恶意程序名加入IEFO,阻止它们启动。

  用winRAR检查,发现这台电脑还中过文件夹变EXE文件的病毒,病毒文件删除,去除文件夹的隐藏属性。

  重启电脑,居然又弹广告窗口,桌面又出现了几个广告图标,看来没清除干净。打开卡卡安全助手,用高级工具里的进程管理查看,发现几个可疑进程,终止并删除文件,再次检查清理启动项。

  重启电脑,还是没解决。用pe_xscan扫描log,发现

O23 - 服务: Messenger (Messenger) - C:/WINDOWS/system32/svchost.exe-k netsvcs
  -> C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic(自动)

还在,但这一项在卡卡安全助手里看不到。把这项干掉。终于清静了。

  启动360杀毒软件,提示要联网升级才能打开监控,升就升,但1个cab文件半天都下载不回来。卸掉,换上半年免费的瑞星。

附部分恶意文件信息:

文件说明符 : C:/WINDOWS/system32/wbem/360tray.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 番茄花园
内部名称 : 工程2
源文件名 : 工程2.exe
创建时间 : 2010-6-21 12:11:21
修改时间 : 2010-6-21 12:11:21
大小 : 24576 字节 24.0 KB
MD5 : 8e0c3c6e7a136d76a27a5e27ae89d9da
SHA1: C4ABCFD62DFE7BD52D60E91679F4DCE992692D0C
CRC32: 5801399f

a-squared5.0.0.11201006240634302010-06-24
-
0.080
AntiVir8.2.4.27.10.8.1842010-06-24
TR/Scar.cift.1
0.276
Arcavir20092010062409132010-06-24
Trojan.Scar.Cift
0.037
Authentium5.1.12010062414562010-06-24
W32/VB-Downloader-Sml-based!Maximus(Heuristic)
1.378
AVAST!4.7.4100624-02010-06-24
Win32:Malware-gen
0.005
AVG8.5.793271.1.1/29602010-06-24
Generic18.AWX
0.302
BitDefender7.90123.62754367.323882010-06-24
Gen:Trojan.UserStartup.bm0@a8LfVtob(suspected)
4.108
ClamAV0.96.1112552010-06-24
Trojan.Agent-165035
0.019
Comodo3.13.57951992010-06-24
-
0.079
CP Secure1.3.0.52010.06.242010-06-24
-
0.040
Dr.Web5.0.2.33002010.06.242010-06-24
Trojan.Click1.12416
8.431
F-Prot4.4.4.56201006242010-06-24
PossibleW32/VB-Downloader-Sml-based!Maximus
1.288
F-Secure7.02.738072010.06.24.042010-06-24
Trojan.Win32.Scar.cift[AVP]
10.552
GData21.402/21.144201006242010-06-24
-
0.078
IkarusT3.1.01.842010.06.24.761322010-06-24
Trojan-Dropper.Agent
6.922
Microsoft1.59022010.06.242010-06-24
-
0.080
Norman6.05.106.05.002010-06-23
-
4.007
nProtect20100622.0187541542010-06-22
-
0.095
Quick Heal10.002010.06.242010-06-24
-
0.077
Sophos3.07.14.542010-06-24
Mal/Emogen-F
3.537
Sunbelt3.9.2426.264982010-06-23
-
0.078
The Hacker6.5.2.0v003032010-06-23
-
0.092
VBA323.12.12.520100624.09252010-06-24
Trojan.Win32.Scar.cift
2.837
ViRobot201006232010.06.232010-06-23
-
0.078
VirusBuster4.5.11.1010.126.100/20226352010-06-24
Trojan.Scar.UDE
2.312
卡巴斯基5.5.102010.06.242010-06-24
Trojan.Win32.Scar.cift
0.077
安博士V32010.06.18.012010.06.182010-06-18
-
0.079
安天2.0.1820100620.47744072010-06-20
-
0.018
江民杀毒13.0.9002010.06.242010-06-24
-
0.084
熊猫卫士9.05.012010.06.232010-06-23
-
0.083
瑞星20.022.53.03.032010-06-24
-
0.077
赛门铁克1.3.0.2420100615.0052010-06-15
Trojan.Gen
0.083
趋势科技9.120-10047.264.102010-06-24
TROJ_SCAR.CE
0.021
迈克菲5400.115860222010-06-23
Generic.dx!szd
16.360
金山毒霸2009.2.5.152010.6.24.182010-06-24
-
0.080
飞塔4.1.13312.802010-06-23
-
文件说明符 : C:/Program Files/qteri/gwrcd.biz
属性 : ----
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-6-21 13:20:6
修改时间 : 2010-6-21 13:20:7
大小 : 2617344 字节 2.508 MB
MD5 : 6892a5622a761bd279cb8474f35bbe70
SHA1: D6DEF57E45BDF90EA91EBACCA95AC6BD327497F4
CRC32: 89028e68

http://www.virscan.org/report/da944a48f9d3cbf5136470f12c07e4c8.html

a-squared5.0.0.11201006231543152010-06-23
-
40.088
AntiVir8.2.2.67.10.8.1592010-06-23
TR/PSW.Bjlog.A
0.261
Arcavir20092010062301582010-06-23
Trojan.Psw.Bjlog.Iiu
0.050
Authentium5.1.12010062221272010-06-22
-
1.599
AVAST!4.7.4100623-02010-06-23
-
0.071
AVG8.5.793271.1.1/29572010-06-23
PSW.Generic8.BXF
0.231
BitDefender7.90123.62715207.323712010-06-23
-
4.032
ClamAV0.96.1112492010-06-23
-
0.135
Comodo3.13.57951922010-06-23
-
40.091
CP Secure1.3.0.52010.06.232010-06-23
-
0.437
Dr.Web5.0.2.33002010.06.232010-06-23
-
8.599
F-Prot4.4.4.56201006222010-06-22
-
1.582
F-Secure7.02.738072010.06.23.032010-06-23
Trojan:W32/Bapkri.B[FSE]
0.157
GData21.394/21.141201006222010-06-22
-
40.101
IkarusT3.1.01.842010.06.23.761262010-06-23
Trojan-PWS.Win32.Bjlog
6.907
Microsoft1.59022010.06.222010-06-22
-
40.095
Norman6.05.106.05.002010-06-22
W32/Suspicious_Gen2.BEFHG
6.011
nProtect20100622.0187541542010-06-22
-
40.092
Quick Heal10.002010.06.232010-06-23
-
40.086
Sophos3.07.14.542010-06-23
Mal/Zegost-E
3.575
Sunbelt3.9.2426.264902010-06-22
-
40.086
The Hacker6.5.2.0v003032010-06-22
-
40.087
VBA323.12.12.520100623.09142010-06-23
-
2.980
ViRobot201006222010.06.222010-06-22
-
40.086
VirusBuster4.5.11.1010.126.98/20219572010-06-23
-
2.752
卡巴斯基5.5.102010.06.232010-06-23
Trojan-PSW.Win32.Bjlog.iiu
0.077
安博士V32010.06.18.012010.06.182010-06-18
-
40.088
安天2.0.1820100620.47744072010-06-20
-
0.017
江民杀毒13.0.9002010.06.232010-06-23
-
40.086
熊猫卫士9.05.012010.06.222010-06-22
-
40.095
瑞星20.022.53.02.042010-06-23
-
40.087
赛门铁克1.3.0.2420100615.0052010-06-15
-
0.078
趋势科技9.120-10047.262.132010-06-23
-
0.000
迈克菲5400.115860222010-06-23
-
19.853
金山毒霸2009.2.5.152010.6.23.212010-06-23
-
40.085
飞塔4.1.13312.782010-06-22
-
40.086
文件说明符 : C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-6-21 14:33:25
修改时间 : 2010-6-21 14:33:25
大小 : 2407568 字节 2.303 MB
MD5 : d80e6d3f1efd20feb23ffb667d0db62c
SHA1: 8473840841F9DA013E86B2F4FC278770664483C5
CRC32: 916e5484
a-squared5.0.0.11201006231543152010-06-23-
40.099
AntiVir8.2.2.67.10.8.1592010-06-23-
0.257
Arcavir20092010062301582010-06-23-
0.082
Authentium5.1.12010062221272010-06-22-
1.624
AVAST!4.7.4100623-02010-06-23-
0.047
AVG8.5.793271.1.1/29572010-06-23-
0.257
BitDefender7.90123.62715207.323712010-06-23-
4.051
ClamAV0.96.1112492010-06-23-
1.736
Comodo3.13.57951922010-06-23-
40.086
CP Secure1.3.0.52010.06.232010-06-23-
0.454
Dr.Web5.0.2.33002010.06.232010-06-23-
10.906
F-Prot4.4.4.56201006222010-06-22-
1.574
F-Secure7.02.738072010.06.23.032010-06-23Trojan:W32/Bapkri.B [FSE]
4.985
GData21.394/21.141201006222010-06-22-
40.086
IkarusT3.1.01.842010.06.23.761262010-06-23Trojan-PWS.Win32.Bjlog
8.495
Microsoft1.59022010.06.222010-06-22-
40.086
Norman6.05.106.05.002010-06-22-
6.012
nProtect20100622.0187541542010-06-22-
40.085
Quick Heal10.002010.06.232010-06-23-
40.088
Sophos3.07.14.542010-06-23Mal/Zegost-E
4.269
Sunbelt3.9.2426.264902010-06-22-
40.090
The Hacker6.5.2.0v003032010-06-22-
40.086
VBA323.12.12.520100623.09142010-06-23-
3.449
ViRobot201006222010.06.222010-06-22-
40.086
VirusBuster4.5.11.1010.126.98/20219572010-06-23-
2.642
卡巴斯基5.5.102010.06.232010-06-23-
0.085
安博士V32010.06.18.012010.06.182010-06-18-
40.103
安天2.0.1820100620.47744072010-06-20-
0.022
江民杀毒13.0.9002010.06.232010-06-23-
40.087
熊猫卫士9.05.012010.06.222010-06-22-
40.089
瑞星20.022.53.02.042010-06-23-
40.100
赛门铁克1.3.0.2420100615.0052010-06-15-
0.133
趋势科技9.120-10047.262.102010-06-23-
0.000
迈克菲5400.115860212010-06-22-
19.440
金山毒霸2009.2.5.152010.6.23.182010-06-23-
40.088
飞塔4.1.13312.782010-06-22-
40.091

http://www.virscan.org/report/e59d29c562d032e755c187b3cdd2a342.html

iteye_6637
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值