【杀毒实例】恶意软件+木马查杀实录【原创】 bbs.ikaka.com

闪电风暴 - 2006-6-23 20:27:00

今天"应邀"去一个同学家修电脑.
据同学说是带有taylor05771规则的瑞星防火墙过期后一天发现系统启动缓慢,不断弹出**网页,无法收拾.让我去看看.
使用工具:
IceSword1.18
Autoruns
HijackThis
Killbox

--------------------------
有一些病毒样本我已经收藏..
卡巴斯基报了三个木马:
backdoor.win32.agent.abm>>svchost.exe
Trojan-downloader.win32.agent.ai>>a1g.exe
Trojan-downloader.win32.agent.akh>>IEXPLORER.EXE

但是同学家的江民杀毒软件都没有报(最新病毒库)

还有一个文件servicess.exe,没有报病毒,但是十分可疑

想要病毒样本的大虾可以贴上邮箱,我发过去....

闪电风暴 - 2006-6-23 20:28:00

HijackThis日志如下:
Logfile of HijackThis v1.99.1
Scan saved at 18:12:20, on 2006-6-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\VIPTray.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\Rundll32.exe
E:\DWH\HijackThis\HijackThis.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\baigoo\bgoomain.exe

O2 - BHO: (no name) - RsAutorunsDisabled - (no file)
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll
O2 - BHO: ChajianHelper Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\SYSREA~1.DLL
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll (file missing)
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O2 - BHO: DTSvc Class - {2EF14E3B-45CE-45d6-913E-7AA65331A933} - C:\WINDOWS\DTSVC\DTS\DTS.dll
O2 - BHO: CAISHOW TOOLBAR - {3AF40CB8-B3BA-4E2D-8968-4BF8DB172997} - C:\Program Files\CaiShow Tech\CaiShow\BrowerHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\QQ\QQIEHelper.dll
O2 - BHO: 网络加速 - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:\WINDOWS\system32\MicrosoftNet.dll
O2 - BHO: Macrosoft Class - {58DB541D-F15A-4e95-A5D9-5DF5EE13920C} - c:\windows\system32\winlogin.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)
O2 - BHO: DTSvc Class - {6B280AC7-8B18-46A4-BF70-FC579A1B2F76} - C:\Program Files\DTSVC\DTS\DTS.dll
O2 - BHO: bg - {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} - C:\Program Files\baigoo\BGooBHO.dll
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:\WINDOWS\system32\WinSC.dll
O2 - BHO: Internet_Explorer_Service - {9E1E1371-9D8F-4421-81B9-F8D2E1773A59} - C:\WINDOWS\system32\HelperService.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\WINDOWS\system32\svchost.dll
O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\basela.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\downlo~1\CnsHook.dll
O2 - BHO: QuickBtn - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:\Program Files\CoolWebsite\QuickLink.dll (file missing)
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O3 - Toolbar: 系统标准按钮(&E) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - C:\WINDOWS\system32\SystemToolbar.dll
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [rundll32] C:\WINDOWS\system32\IEXPLORER.EXE
O4 - HKLM\..\Run: [MSService_v1.0] C:\WINDOWS\system\servicess.exe
O4 - HKLM\..\Run: [pbmini] "C:\Program Files\pcast\PodcastbarMini\PodcastBarMini.exe" -hide
O4 - HKLM\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - HKLM\..\Run: [MSADService_v1.0] C:\WINDOWS\system\a1g.exe
O4 - HKLM\..\Run: [bgoomain.exe] C:\Program Files\baigoo\bgoomain.exe
O4 - HKLM\..\RunOnce: [C:\PROGRA~1\baigoo\plugin\bgoocos\bgoocos.dll] regsvr32 /s C:\PROGRA~1\baigoo\plugin\bgoocos\bgoocos.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [svc] C:\WINDOWS\svchost.exe
O4 - Global Startup: IE-BAR.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - Extra context menu item: &使用迅雷下载 - D:\常用软件\迅雷下载工具\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\常用软件\迅雷下载工具\getallurl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\QQ\SendMMS.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - E:\DWH\神话\BitSpirit\bsurl.htm
O8 - Extra context menu item: 用炫彩图铃发送该图片 - C:\Program Files\CaiShow Tech\CaiShow\SendMMS.htm
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 网络实名
O16 - DPF: {045ADB92-9635-45CE-B25B-F19F825B0E39} (MSTPlayerInstaller Control) - http://211.157.0.242/mstview/chs/MSTPlayerInstaller.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{57ABF57C-2EFC-4618-85D7-1CE6DE64CFD1}: NameServer = 10.42.5.6
O17 - HKLM\System\CS1\Services\Tcpip\..\{57ABF57C-2EFC-4618-85D7-1CE6DE64CFD1}: NameServer = 10.42.5.6
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\Ravmond.exe
O23 - Service: VIPTray - Unknown owner - C:\WINDOWS\System32\VIPTray.exe[font_color=#0]

闪电风暴 - 2006-6-23 20:28:00

于是我修复了如上日志的红字选项,进程用IS终止,BHO也用IS删除,将相应文件用KILLBOX删除:
c:\windows\system\svchost.exe
c:\windows\system\a1g.exe
O4 - HKLM\..\Run: [rundll32] C:\WINDOWS\system32\IEXPLORER.EXE
O2 - BHO: Webacc - {CAC068F3-A608-406B-8581-458788A67694} - C:\WINDOWS\system32\svchost.dll
O4 - HKLM\..\Run: [MSService_v1.0] C:\WINDOWS\system\servicess.exe
O4 - HKLM\..\Run: [bgoomain.exe] C:\Program Files\baigoo\bgoomain.exe

恶意软件的DLL过多.改天再删.

于维克托 - 2006-6-23 20:34:00

晕~~,有好多流氓软件呦!

闪电风暴 - 2006-6-23 20:36:00

请等我发完再回复好吗??

闪电风暴 - 2006-6-23 20:36:00

我又启动autoruns,删除了很多木马的服务项与加载项.(SORRY,没有记住是哪些了..)

闪电风暴 - 2006-6-23 20:36:00

这个baigoo不知道是哪里来的.也不好删除

独孤豪侠 - 2006-6-23 20:49:00

这个你先用HJ修复掉,然后在SSM的规规里设置为禁止运行.(SSM要设置成开机启动)重启电脑后看能不能删.

闪电风暴 - 2006-6-23 20:58:00

SSM不断报rundll32.exe运行,其它的文件已经被删除掉了

Enao2005 - 2006-6-23 21:00:00

还要修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

最关键的是这个，鸽子吧。
O23 - Service: VIPTray - Unknown owner - C:\WINDOWS\System32\VIPTray.exe

还有请问这是不是会使开机自动打开IE的项呀？不确定。
O4 - HKLM\..\Run: [rundll32] C:\WINDOWS\system32\IEXPLORER.EXE

闪电风暴 - 2006-6-23 21:03:00

是的,,VIPTray.exe我在许多电脑上都见过.不是鸽子

闪电风暴 - 2006-6-23 21:03:00

SSM没有报HOOK

Enao2005 - 2006-6-23 22:09:00

VIPTray.exe是灰鸽子,的确我很多人中,我见过的日志就有3 4例,我记忆中好象我无邪也处理过.

我还有个问题,taylor05771的规则包怎么会过期后呢?网警和寿宁等人一直都有在更新,最新的是RAVF-06-6.18-116,
请到http://bbs.hzva.org/forumdisplay.php?fid=151&sid=pR3PB4下载正版规则包

baohe - 2006-6-23 22:15:00

引用:

【闪电风暴的贴子】SSM不断报rundll32.exe运行,其它的文件已经被删除掉了
...........................

在SSM的规则中添加一条规则，禁止rundll32.exe运行。
问题解决后，再去掉这条规则。

闪电风暴 - 2006-6-24 8:07:00

虽然禁止了rundll32.exe,但是它还在不断地运行,SSM管不了....
汗~

闪电风暴 - 2006-6-24 8:23:00

引用:

【Enao2005的贴子】VIPTray.exe是灰鸽子,的确我很多人中,我见过的日志就有3 4例,我记忆中好象我无邪也处理过.

我还有个问题,taylor05771的规则包怎么会过期后呢?网警和寿宁等人一直都有在更新,最新的是RAVF-06-6.18-116,
请到http://bbs.hzva.org/forumdisplay.php?fid=151&sid=pR3PB4下载正版规则包
...........................

我说了,瑞星防火墙过期了,不是规则包过期了

闪电风暴 - 2006-6-24 8:34:00

这个可疑文件 servicess.exe没有人要吗??~卡巴斯基都不报的

闪电风暴 - 2006-6-24 15:50:00

VIPtray.exe好像不像是鸽子啊.鸽子一般都在windows目录下,而它在system32下

Enao2005 - 2006-6-24 20:34:00

你搞错了吧，鸽子就是在C:\windows\System32下的，不过我也见过在C:\windows下的。

chiris - 2006-6-24 20:38:00

VIPtray.exe不是鸽子啊.~~

闪电风暴 - 2006-6-25 19:46:00

C:\windows\system32目录下的应该是正版的灰鸽子,不是木马,我的灰鸽子正式版创建的文件就是这个目录下,至于破解版,一般都在WINDOWS目录下和IE的目录下,还有临时文件夹的

闪电风暴 - 2006-6-25 19:48:00

网上找了一下,可能是划词

精神院病人 - 2006-6-25 20:54:00

VIPTray.exe是灰鸽子工作室最新推出的灰鸽子远程监控VIP用户用的

精神院病人 - 2006-6-25 20:55:00

我要文件csely1049@163.com

闪电风暴 - 2006-8-9 9:03:00

VIPtray是划词

瑞星卡卡安全论坛