本文主要是介绍遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
endurer 原创
2007-06-10 第1版
(续)
pe_xscan 的 log 中的 O26 项就是列出的就是映像劫持,可以看到 HijackThis、卡卡安全助手、毒霸的程序榜上有名。
另外,WinRAR开一会就会被关掉,重启电脑时选择以安全模式启动后,机子直接重启了。
由于regedit.exe没有被映像劫持,所以可以直接打开,删除注册表中的O26(映像劫持)的项目和O23的项目。
下载Dr.Web CureIt!查杀了一次,有几个注入系统进程的DLL要will be cured after reboot。
运行FreeDLL。
到 http://endurer.ys168.com 下载IceSword,并改名运行,卸掉注入[System Process] * 0的可疑DLL模块,再用FreeDLL从所有进程卸掉可疑DLL模块。
用 bat_do 删除可疑文件 和 D、E、F盘上的 autorun.inf 和 06B4D0BF.exe。
重新下载安装卡卡安全助手,处理 O4,O24 和 025。
由于时间关系,只把其中一部分可疑文件发到了邮箱,Dr.Web CureIt!的扫描日志文件也没有发到邮箱。
文件说明符 : C:/windows/Kvsc3.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 18:35:26
修改时间 : 2007-6-10 7:59:28
访问时间 : 2007-6-9 0:0:0
大小 : 5448 字节 5.328 KB
MD5 : fb952bb5c32fa9b8cef8e46da750a928
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.tw,瑞星报为 Trojan.PSW.OnlineGames.bnr
文件说明符 : C:/windows/system32/000.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 18:22:21
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-6-9 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7
Kapsersky 报为 Trojan-Downloader.Win32.Delf.bjy,瑞星报为 Trojan.DL.Small.vax
文件说明符 : C:/Program Files/Common Files/Microsoft Shared/MSINFO/06B4D0BF.dll
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:44
修改时间 : 2007-6-9 12:57:46
访问时间 : 2007-6-11 0:0:0
大小 : 46675 字节 45.595 KB
MD5 : 7face3453c0f9e1d4c541daeed12058a
Kapsersky 报为 Worm.Win32.Delf.cc,瑞星报为 Worm.Agent.wk
文件说明符 : C:/PROGRA~1/COMMON~1/MICROS~1/MSINFO/06B4D0BF.dat
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:44
修改时间 : 2007-6-9 12:56:22
访问时间 : 2007-6-11 0:0:0
大小 : 33363 字节 32.595 KB
MD5 : a785a2729bfbb5af9ba644d578b8eecc
Kapsersky 报为 Worm.Win32.Delf.cc,瑞星报为 Worm.Agent.wk
文件说明符 : c:/windows/system32/msdebug.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 7:59:44
修改时间 : 2007-6-10 7:59:46
访问时间 : 2007-6-11 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 6023cb050eca231c1329cf46b8d7fadc
文件说明符 : c:/windows/system32/lyloader.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-10 7:59:19
修改时间 : 2007-6-10 7:59:20
访问时间 : 2007-6-11 0:0:0
大小 : 10336 字节 10.96 KB
MD5 : c92163fc0a87d4091f8e099d93916599
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.nn,瑞星报为 Trojan.PSW.XYOnline.qe
文件说明符 : c:/windows/system32/lyloadmr.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-10 19:7:35
修改时间 : 2007-6-10 20:13:18
访问时间 : 2007-6-11 0:0:0
大小 : 8048 字节 7.880 KB
MD5 : cbe55415ba598b685f5d9152f643b0eb
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.te,瑞星报为 Trojan.PSW.OnlineGames.ccy
文件说明符 : F:/06B4D0BF.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-9 12:57:54
修改时间 : 2007-6-9 12:56:22
访问时间 : 2007-6-11 0:0:0
大小 : 33363 字节 32.595 KB
MD5 : a785a2729bfbb5af9ba644d578b8eecc
文件说明符 : D:/test/jh[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:11:3
修改时间 : 2007-6-10 7:59:44
访问时间 : 2007-6-10 0:0:0
大小 : 18320 字节 17.912 KB
MD5 : 4cc8a79ad12727deac582d5cd74680ae
Kapsersky 报为 Trojan-Proxy.Win32.Small.du,瑞星报为 Trojan.PSW.OnlineGames.caw
文件说明符 : C:/WINDOWS/system32/nwiztlbu.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:13:53
修改时间 : 2007-6-10 7:59:48
访问时间 : 2007-6-10 0:0:0
大小 : 10260 字节 10.20 KB
MD5 : 66c45db57837d5d3f779ecda9c5018c4
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.rc,瑞星报为 Trojan.PSW.OnlineGames.cfg
文件说明符 : D:/test/bpakwh.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:18:37
修改时间 : 2005-5-25 17:19:2
访问时间 : 2007-6-10 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 85dd0607cd69ab0773b58e0dbc7bb498
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.rt,瑞星报为 Trojan.PSW.WoWar.ahn
文件说明符 : D:/test/~tmp6334.exe
属性 : ----
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-6-10 22:21:29
修改时间 : 2007-5-25 17:13:30
访问时间 : 2007-6-10 0:0:0
大小 : 17789 字节 17.381 KB
MD5 : 1f96f269d4c3ab049cf039ee5092511d
Kapsersky 报为 Backdoor.Win32.Agent.ahj,瑞星报为 Trojan.IMMSG.TBMsg.ff
文件说明符 : D:/test/rising747.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-10 22:25:51
修改时间 : 2007-5-25 17:13:28
访问时间 : 2007-6-10 0:0:0
大小 : 52620 字节 51.396 KB
MD5 : e44cac970a9a82c39880124c24093ce2
Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.fq,瑞星报为 Trojan.Mnless.lxv
另外在C:/Documents and Settings/Administrator发现:
C:/Documents and Settings/Administrator/msinfo.vbs的内容:
/---
Set Shell = CreateObject("Wscript.Shell")
Shell.Run ("msinfo.exe")
Set Shell = Nothing
---/
文件说明符 : C:/Documents and Settings/Administrator/msinfo.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 8:50:55
修改时间 : 2007-5-17 10:22:2
访问时间 : 2007-6-11 0:0:0
大小 : 17254 字节 16.870 KB
MD5 : e2fc361009ee1ea92eb5f0626e13b620
Antivirus | Version | Update | Result |
AhnLab-V3 | 2007.6.9.0 | 06.08.2007 | Win-Trojan/Hupigon.Gen |
AntiVir | 7.4.0.32 | 06.09.2007 | no virus found |
Authentium | 4.93.8 | 05.23.2007 | could be a corrupted executable file |
Avast | 4.7.997.0 | 06.09.2007 | no virus found |
AVG | 7.5.0.467 | 06.09.2007 | no virus found |
BitDefender | 7.2 | 06.10.2007 | Trojan.Downloader.Delf.NRY |
CAT-QuickHeal | 9.00 | 06.09.2007 | TrojanDownloader.Delf.bjy |
ClamAV | devel-20070416 | 06.10.2007 | no virus found |
DrWeb | 4.33 | 06.10.2007 | Win32.HLLW.Creater |
eSafe | 7.0.15.0 | 06.06.2007 | suspicious Trojan/Worm |
eTrust-Vet | 30.7.3707 | 06.09.2007 | no virus found |
Ewido | 4.0 | 06.10.2007 | Downloader.Delf.bjy |
FileAdvisor | 1 | 06.10.2007 | no virus found |
Fortinet | 2.85.0.0 | 06.10.2007 | no virus found |
F-Prot | 4.3.2.48 | 06.08.2007 | no virus found |
F-Secure | 6.70.13030.0 | 06.08.2007 | W32/Delf.AGLS |
Ikarus | T3.1.1.8 | 06.10.2007 | Trojan-PWS.Win32.QQPass.pb |
Kaspersky | 4.0.2.24 | 06.10.2007 | no virus found |
McAfee | 5049 | 06.08.2007 | no virus found |
Microsoft | 1.2503 | 06.10.2007 | no virus found |
NOD32v2 | 2321 | 06.10.2007 | unpack error |
Norman | 5.80.02 | 06.08.2007 | W32/Delf.AGLS |
Panda | 9.0.0.4 | 06.10.2007 | Suspicious file |
Prevx1 | V2 | 06.10.2007 | no virus found |
Sophos | 4.18.0 | 06.01.2007 | W32/Versie-Fam |
Sunbelt | 2.2.907.0 | 06.09.2007 | no virus found |
Symantec | 10 | 06.10.2007 | no virus found |
TheHacker | 6.1.6.131 | 06.08.2007 | no virus found |
VBA32 | 3.12.0 | 06.10.2007 | suspected of Trojan-Dropper.Agent.35 |
VirusBuster | 4.3.23:9 | 06.09.2007 | no virus found |
Webwasher-Gateway | 6.0.1 | 06.10.2007 | Win32.Malware.dam (suspicious) |
Aditional Information |
File size: 17254 bytes |
MD5: e2fc361009ee1ea92eb5f0626e13b620 |
SHA1: 49aa97b6cd54cb7367ff4ec073973fb67db008f2 |
packers: UPX |
packers: UPX |
文件说明符 : C:/Documents and Settings/Administrator/hissys.dat
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-3-24 20:34:20
修改时间 : 2007-3-27 11:42:56
访问时间 : 2007-6-11 0:0:0
大小 : 1609 字节 1.585 KB
MD5 : db33675f6aabda4db8d07b3fb3e8ab61
这篇关于遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!