遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2

endurer 原创
2007-06-10 第1版

（续）

pe_xscan 的 log 中的 O26 项就是列出的就是映像劫持，可以看到 HijackThis、卡卡安全助手、毒霸的程序榜上有名。

另外，WinRAR开一会就会被关掉，重启电脑时选择以安全模式启动后，机子直接重启了。

由于regedit.exe没有被映像劫持，所以可以直接打开，删除注册表中的O26(映像劫持)的项目和O23的项目。

下载Dr.Web CureIt!查杀了一次，有几个注入系统进程的DLL要will be cured after reboot。

运行FreeDLL。
到 http://endurer.ys168.com 下载IceSword，并改名运行，卸掉注入[System Process] * 0的可疑DLL模块，再用FreeDLL从所有进程卸掉可疑DLL模块。

用 bat_do 删除可疑文件 和 D、E、F盘上的 autorun.inf 和 06B4D0BF.exe。

重新下载安装卡卡安全助手，处理 O4，O24 和 025。

由于时间关系，只把其中一部分可疑文件发到了邮箱，Dr.Web CureIt!的扫描日志文件也没有发到邮箱。

文件说明符 : C:/windows/Kvsc3.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 18:35:26
修改时间 : 2007-6-10 7:59:28
访问时间 : 2007-6-9 0:0:0
大小 : 5448 字节 5.328 KB
MD5 : fb952bb5c32fa9b8cef8e46da750a928

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.tw，瑞星报为 Trojan.PSW.OnlineGames.bnr

文件说明符 : C:/windows/system32/000.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 18:22:21
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-6-9 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7

Kapsersky 报为 Trojan-Downloader.Win32.Delf.bjy，瑞星报为 Trojan.DL.Small.vax

文件说明符 : C:/Program Files/Common Files/Microsoft Shared/MSINFO/06B4D0BF.dll
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:44
修改时间 : 2007-6-9 12:57:46
访问时间 : 2007-6-11 0:0:0
大小 : 46675 字节 45.595 KB
MD5 : 7face3453c0f9e1d4c541daeed12058a

Kapsersky 报为 Worm.Win32.Delf.cc，瑞星报为 Worm.Agent.wk

文件说明符 : C:/PROGRA~1/COMMON~1/MICROS~1/MSINFO/06B4D0BF.dat
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:44
修改时间 : 2007-6-9 12:56:22
访问时间 : 2007-6-11 0:0:0
大小 : 33363 字节 32.595 KB
MD5 : a785a2729bfbb5af9ba644d578b8eecc

Kapsersky 报为 Worm.Win32.Delf.cc，瑞星报为 Worm.Agent.wk

文件说明符 : c:/windows/system32/msdebug.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 7:59:44
修改时间 : 2007-6-10 7:59:46
访问时间 : 2007-6-11 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 6023cb050eca231c1329cf46b8d7fadc

文件说明符 : c:/windows/system32/lyloader.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-10 7:59:19
修改时间 : 2007-6-10 7:59:20
访问时间 : 2007-6-11 0:0:0
大小 : 10336 字节 10.96 KB
MD5 : c92163fc0a87d4091f8e099d93916599
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.nn，瑞星报为 Trojan.PSW.XYOnline.qe

文件说明符 : c:/windows/system32/lyloadmr.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-10 19:7:35
修改时间 : 2007-6-10 20:13:18
访问时间 : 2007-6-11 0:0:0
大小 : 8048 字节 7.880 KB
MD5 : cbe55415ba598b685f5d9152f643b0eb

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.te，瑞星报为 Trojan.PSW.OnlineGames.ccy

文件说明符 : F:/06B4D0BF.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:54
修改时间 : 2007-6-9 12:56:22
访问时间 : 2007-6-11 0:0:0
大小 : 33363 字节 32.595 KB
MD5 : a785a2729bfbb5af9ba644d578b8eecc

文件说明符 : D:/test/jh[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:11:3
修改时间 : 2007-6-10 7:59:44
访问时间 : 2007-6-10 0:0:0
大小 : 18320 字节 17.912 KB
MD5 : 4cc8a79ad12727deac582d5cd74680ae

Kapsersky 报为 Trojan-Proxy.Win32.Small.du，瑞星报为 Trojan.PSW.OnlineGames.caw

文件说明符 : C:/WINDOWS/system32/nwiztlbu.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:13:53
修改时间 : 2007-6-10 7:59:48
访问时间 : 2007-6-10 0:0:0
大小 : 10260 字节 10.20 KB
MD5 : 66c45db57837d5d3f779ecda9c5018c4

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.rc，瑞星报为 Trojan.PSW.OnlineGames.cfg

文件说明符 : D:/test/bpakwh.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:18:37
修改时间 : 2005-5-25 17:19:2
访问时间 : 2007-6-10 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 85dd0607cd69ab0773b58e0dbc7bb498

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.rt，瑞星报为 Trojan.PSW.WoWar.ahn

文件说明符 : D:/test/~tmp6334.exe
属性 : ----
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-10 22:21:29
修改时间 : 2007-5-25 17:13:30
访问时间 : 2007-6-10 0:0:0
大小 : 17789 字节 17.381 KB
MD5 : 1f96f269d4c3ab049cf039ee5092511d

Kapsersky 报为 Backdoor.Win32.Agent.ahj，瑞星报为 Trojan.IMMSG.TBMsg.ff

文件说明符 : D:/test/rising747.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:25:51
修改时间 : 2007-5-25 17:13:28
访问时间 : 2007-6-10 0:0:0
大小 : 52620 字节 51.396 KB
MD5 : e44cac970a9a82c39880124c24093ce2

Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.fq，瑞星报为 Trojan.Mnless.lxv

另外在C:/Documents and Settings/Administrator发现：

C:/Documents and Settings/Administrator/msinfo.vbs的内容：
/---
Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("msinfo.exe")
Set Shell = Nothing
---/

文件说明符 : C:/Documents and Settings/Administrator/msinfo.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 8:50:55
修改时间 : 2007-5-17 10:22:2
访问时间 : 2007-6-11 0:0:0
大小 : 17254 字节 16.870 KB
MD5 : e2fc361009ee1ea92eb5f0626e13b620

文件说明符 : C:/Documents and Settings/Administrator/hissys.dat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-24 20:34:20
修改时间 : 2007-3-27 11:42:56
访问时间 : 2007-6-11 0:0:0
大小 : 1609 字节 1.585 KB
MD5 : db33675f6aabda4db8d07b3fb3e8ab61