瑞星卡卡安全论坛

近日机器中招一马，此马运行后建立一系统服务，并释放一个exe文件到system32目录下，及在C:\Documents and Settings\Administrator\Local Settings\Temp\1(win2k管理员用户名未改)下释放一个tmp后缀文件及一个dll文件，并删除自身，重启机器后会将C:\Documents and Settings\Administrator\Local Settings\Temp\1下原有dll，tmp文件删除，并在C:\WINNT\Temp下创建同一dll文件，然后试图将C:\WINNT\Temp下dll文件插入所有打开的可执行文件进程中，打开一个ie监听端口。
现我将C:\WINNT\Temp下dll文件及system32下exe文件禁用，发现每打开一个文件如winrar，它就会自动在C:\Documents and Settings\Administrator\Local Settings\Temp\1下创建新的tmp文件，将此tmp禁用的话，再打开另一程序它还会再创建一个同样大小的tmp文件，说明发现原有tmp文件不可用的情况下自身会不断复制。用了论坛的工具如System Repair Engineer ,icesord,ssm均未能找出其它的进程文件到底是哪个（恕本人菜），依时间搜索创建的文件也未见其它，难道在内存中还有未清干净？
很急，机器在外地不能重装的，实在是没辙了，请论坛高手帮忙解决，原木马文件在此，已经压缩打包，不知可否上传，但我在虚拟机里win03系统没有安装成功。

用瑞星杀呀，哈哈

试过好多杀软都没反应啊，唉。。。

论坛不能上传文件，我放在了网络硬盘里，能不能请高手帮忙测试一下怎么解决，最好是在虚拟机里的win2k系统，以免中招。

提取文件连接 http://pickup.mofile.com/0040017004434143 
或登录Mofile，使用提取码 0040017004434143 提取文件

再次声明，这是木马，请注意！！！

好,分析中.......

谢谢楼上，您的大名我在潜水时是久闻啊，呵呵。。。

这不是灰鸽子么？

是啊，好多特征都像，是变种吧。
不知怎么彻底搞定，弄得头晕了都。。。
用了好些工具，nod32也没反应

它应该是监听端口的吧，我把释放的dll文件禁了，出来一个 iexplore在任务管理器里，估计是不是因为被禁用的缘故所以调用的ie隐藏不了也监听不了啦？

是只鸽子

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ NvCplDaemonNVIDIA Display Properties ExtensionNVIDIA Corporationc:\winnt\system32\nvcpl.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Desktop ExplorerNVIDIA Desktop Explorer, Version 110.26 NVIDIA Corporationc:\winnt\system32\nvshell.dll

+ Desktop Explorer MenuNVIDIA Desktop Explorer, Version 110.26 NVIDIA Corporationc:\winnt\system32\nvshell.dll

+ Display Panning CPL ExtensionFile not found: deskpan.dll

+ HyperTerminal Icon ExtHyperTerminal Applet LibraryHilgraeve, Inc.c:\winnt\system32\hticons.dll

+ nView Desktop Context MenuNVIDIA Desktop Explorer, Version 110.26 NVIDIA Corporationc:\winnt\system32\nvshell.dll

+ WinRAR shell extensionc:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ FlashGet BarFlashGet IE BarAmaze Softc:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softc:\program files\flashget\flashget.exe

HKLM\System\CurrentControlSet\Services

+ nsmsMaintains network security configurations.  This service can not be stopped.c:\winnt\system32\f.tmp

+ NVSvcProvides system and desktop level support to the NVIDIA display driverNVIDIA Corporationc:\winnt\system32\nvsvc32.exe

HKLM\System\CurrentControlSet\Services

+ d347busPnP BIOS Extension c:\winnt\system32\drivers\d347bus.sys

+ d347prtSCSI miniport c:\winnt\system32\drivers\d347prt.sys

+ dlkfetNDIS 5.0 miniport driverFast Ethernet PCI Adapter Manufacturerc:\winnt\system32\drivers\dlkfet.sys

+ dmioNT Disk Manager I/O DriverVERITAS Software Corp.c:\winnt\system32\drivers\dmio.sys

+ dmloadNT Disk Manager Startup DriverVERITAS Software Corp.c:\winnt\system32\drivers\dmload.sys

+ nvNVIDIA Compatible Windows 2000 Miniport Driver, Version 84.20 NVIDIA Corporationc:\winnt\system32\drivers\nv4_mini.sys

+ PtilinkDirect Parallel Link DriverParallel Technologies, Inc.c:\winnt\system32\drivers\ptilink.sys

+ rtl8139NDIS 5.0 driver                                                                  Realtek Semiconductor Corporation                                                c:\winnt\system32\drivers\rtl8139.sys

+ safemonSystem Safety Monitor 2.0 extension for Windows security layerSystem Safety Limitedc:\winnt\system32\drivers\safemon.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

+ System Safety MonitorSystem Safety Winlogon NotificationSystem Safety Limitedc:\winnt\system32\ssmwinlogonex.dll

HKCU\Control Panel\Desktop\Scrnsave.exe

+ (无)File not found: (无)

晕了，我贴错地方，不是在这帖子，是闪电兄开的那帖，真是被搞晕了。。。

【回复“fsecure”的帖子】
这只鸽子已经搞掂：http://forum.ikaka.com/topic.asp?board=28&artid=8159887

谢谢各位关注，可是我自己好像还是搞不定呢－症状貌似不一致。

那个服务项好像并没有安装成功吧？从“服务”进去看其属性，弹出一个“服务器配置内部错误”（好像是这么说的，记不太清了），而且其属性中也是停止的－－貌似没有运行成功吧？
其二是当禁止其5i.dll及regeidt.exe后，在当前用户的temp文件夹里不断生成tmp文件并插入每个运行的进程中，忘记了，没把当时在已经创建进程里插入的tmp文件截图下来。