遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等
endurer 原创
2007-07-18 第2版 补充 Kaspersky 的回复
2007-07-17 第1版
有网友的电脑中的卡巴斯基最近经常报告发现病毒,如:
/---
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system63qso.dll 70.2 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system82qso.dll 70.2 KB
感染: 病毒 Virus.Win32.AutoRun.er c:/windows/system32/install.exe 24.5 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.abt c:/windows/system32/rav008c.dat 6.4 KB
---/
让偶通过QQ远程协助。
下载 pe_xscan 扫描 log,不料程序出错,取消列举文件版本信息的选项后,完成扫描。
经分析,发现可疑项(进程模块部分有省略):
/---
pe_xscan 07-06-23 by Purple Endurer
2007-7-17 12:50:49
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
C:/WINDOWS/Explorer.EXE * 1496 | 2004-8-23 16:0:0
C:/WINDOWS/system32/aetpksw.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/Agent.dll | 2004-8-23 16:0:0
d:/Program Files/Tencent/QQ/TIMPlatform.exe * 1420 | 2006-12-8 20:11:30
C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
D:/Program Files/Tencent/QQ/QQ.exe * 2072 | 2006-12-20 12:57:0
C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
O23 - 服务: ATICDSDr (ATICDSDr) - C:/DOCUME~1/user/LOCALS~1/Temp/{1735A~1/atiicdxx.sys(手动)
O23 - 服务: gwiopm (gwiopm) - F:/新建文件夹/gwiopm.sys | 1998-6-3 13:59:40(手动)
O23 - 服务: New0 (New0) - C:/WINDOWS/system32/new.sys | 2007-5-6 13:10:58(自动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: RemoteDbg (Remote Debug Service) - C:/WINDOWS/system32/rundll32.exe RemoteDbg.dll,input(自动)
O24 - ShlExecHook: [OFFICE] - {13BB17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system63qso.dll
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
O24 - ShlExecHook: [OFFICE] - {13BA17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system82qso.dll
---/
先下载安装瑞星卡卡安全助手,在 高级功能—>插件管理及卸载 里把 3 个 O24 项卸载掉。
到 http://purpleendurer.ys168.com 下载 FreeDLL,bat_do,FileInfo。
用FreeDLL卸载注入系统进程的 Agent.dll 等 DLL,用 FileInfo 提取文件信息,用 bat_do 打包备份。
打开注册表编辑器,准备删除O23的项目时,网友的电脑死机了~
等网友重启电脑后继续。在注册表里把O23的项目都删除了。再用 bat_do 删除 Agent.dll 等文件,结果拒绝访问~
再用 pe_xscan 扫描 log 分析,发现
/---
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
---/
又重生了,而且 aetpksw.dll 等 DLL 又注入了系统进程,用 FreeDLL 卸不完~
这个O24用卡卡安全助手卸载掉后会重生。
把这些文件加入 bat_do,使用延时删除,并生成去除属性、删除和改名命令,下次启动时执行。
用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。
让网友关闭系统还原功能,重启电脑,如果还不能清除,就用IceSword把这些DLL从系统进程中卸载,然后删除,再用卡卡安全助手卸载O24。
部分文件信息:
文件说明符 : C:/WINDOWS/system32/aetpksw.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-23 16:0:0
修改时间 : 2004-8-23 16:0:0
访问时间 : 2007-7-17 0:0:0
大小 : 19538 字节 19.82 KB
MD5 : 16b524ab36cb7ef7c0a849581dce56d7
瑞星报为 Trojan.PSW.Win32.Agent.qg
主 题: | RE: aetpksw.dll [KLAB-2451058] | ||
发件人: | "" <newvirus@kaspersky.com> | 发送时间:2007-07-18 00:36:32 | |
Hello,
aetpksw.dll -
Trojan-PSW.Win32.OnLineGames.wy
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Denis Maslennikov
Virus analyst, Kaspersky Lab.
e-mail:
newvirus@kaspersky.com
http://www.kaspersky.com/
文件
C:/WINDOWS/system32/wkjhl.dll
C:/WINDOWS/system32/wlkhm.dll
C:/WINDOWS/system32/hytsx.dll
C:/WINDOWS/system32/wiytd.dll
C:/WINDOWS/system32/zeqax.dll
C:/WINDOWS/system32/Agent.dll
均与 C:/WINDOWS/system32/aetpksw.dll 相同。
文件说明符 : D:/test/New.sys
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-17 21:2:27
修改时间 : 2007-5-6 13:10:58
访问时间 : 2007-7-17 0:0:0
大小 : 1880 字节 1.856 KB
MD5 : 79b0dd5f393c132f7a84b7dbf85a9f40
File: new.sys
Status: INFECTED/MALWARE
MD5: 79b0dd5f393c132f7a84b7dbf85a9f40
Packers detected:-
Bit9 reports: File not found
Scan taken on 17 Jul 2007 13:02:40 (GMT) | |
A-Squared | Found nothing |
AntiVir | Found CC/1000.BD |
ArcaVir | Found nothing |
Avast | Found nothing |
AVG Antivirus | Found Generic.OFE |
BitDefender | Found nothing |
ClamAV | Found nothing |
Dr.Web | Found nothing |
F-Prot Antivirus | Found nothing |
F-Secure Anti-Virus | Found nothing |
Fortinet | Found nothing |
Kaspersky Anti-Virus | Found nothing |
NOD32 | Found nothing |
Norman Virus Control | Found nothing |
Panda Antivirus | Found Generic |
Rising Antivirus | Found nothing |
Sophos Antivirus | Found nothing |
VirusBuster | Found nothing |
VBA32 | Found nothing |
