【典型案例】系统变成“DLL木马之家”！ bbs.ikaka.com

wuwants - 2006-9-7 23:49:00

下面这个案例是我在网上找到的，而竟然与我的情况一摸一样，他最后选择了重装，而且还没有找到原因，现在我想请卡卡论坛的高手看看帮忙解决，难道只能重装系统？求助，关于局域网共享上网问题

【baohe批注】木马群见三楼SRENG日志

各位兄弟，希望大家能够提出点意见，我真的不知道是怎么回事了！
我哥公司现有计算机4台，采用adsl的上网方式，设定主机为A,则主机的设定为启用网络共享上网（就是那个微软自带的INTERNET共享），其网卡IP设定为192.168.0.1 掩码255.255.255.0 其余几台计算机分别是B、C、D!IP设定为192.168.0.2至192.168.0.4 掩码同上，网关为192.168.0.1
现在出现一个很奇怪无法解决的问题。
B、C、D这3台计算机，其中一台计算机（全当是代号C计算机）无法浏览网页、无法使用FOXMAIL、无法登陆MSN，总之一句话，凡是和网络贴边的都不能使用。

我的检查包括，使用PING 命令，发现都能相互PING通，并且网上邻居的文件共享正常，可以正常打开拷贝文件。应该可以排除硬件或者网卡的问题。
使用最新版本的瑞星（今天更新的）进行病毒的查杀，未发现病毒（唯一可疑的是瑞星监控的邮件监控死活无法启用，右下角是黄色的小伞而不是绿色的）
怀疑是IE浏览器的问题，安装MYIE后，仍然不能上网。
考虑也许是计算机服务出现问题，使用我的电脑--管理--服务察看相关选项，未发现异常关闭或者禁用的项目。

右下角本地连接指示图标都亮，有收发数据包的迹象。

请问在线的各位高手，我现在的这台计算机到底是什么问题？我不希望重新安装系统，如何解决呢？在线立等，望不吝赐教！谢谢！

yanmings - 2006-9-8 0:05:00

请到http://www.kztechs.com/sreng/sreng2.zip 下载System Repair Engineer 2.0.21.505（RC2）导出全部日志

wuwants - 2006-9-9 17:25:00

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.]
<RfwMain><"D:\杀毒备份\Rising\Rfw\rfwmain.exe" -Startup> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<RavStub><"C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE> [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><EXPLORER.EXE> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\Userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]

wuwants - 2006-9-9 17:26:00

<{0DE8B27C-A805-42D7-B179-D17F31EFE010}><C:\WINDOWS\system32\Qlfcql.dll> []
<{A21A3196-7110-4F00-969C-213426D90B75}><C:\WINDOWS\system32\Kyeqoo.dll> []
<{C4F56644-077A-4273-B267-831A0F4ECE60}><C:\WINDOWS\system32\Bckezo.dll> []
<{384F7A86-BF19-40CB-9481-956EE0F3BA51}><C:\WINDOWS\system32\Uoacl.dll> []
<{90973275-C56E-4155-80E3-F9ACA29EB7F2}><C:\WINDOWS\system32\Lzunjk.dll> []
<{D702A540-3293-485C-9FCC-FFCF4CE11DEC}><C:\WINDOWS\system32\Rmsmzj.dll> []
<{715D0F7D-2CD6-48A3-85BD-7E1606376CBB}><C:\WINDOWS\system32\Criuqj.dll> []
<{79EC0A5F-5A4B-4248-B22E-ED0402C8552F}><C:\WINDOWS\system32\Cblqa.dll> []
<{2DB1A47C-3788-4A6D-84EA-D38932E43EA5}><C:\WINDOWS\system32\Psafhf.dll> []
<{F85C8C64-E578-435C-8828-AAB2E5BD79F2}><C:\WINDOWS\system32\Ktkhl.dll> []
<{A166E16D-C03E-4980-A825-7902C3FF545F}><C:\WINDOWS\system32\Rxtxdr.dll> []
<{DBB9D62F-DD3D-4652-ADFF-EE436B3B1905}><C:\WINDOWS\system32\Hgyk.dll> []
<{F6B8FF5F-B59E-4BD8-AA0F-17A6BFD05BF2}><C:\WINDOWS\system32\Xhnasv.dll> []
<{F52029E2-D81F-4FFC-919A-89E625D6A5B7}><C:\WINDOWS\system32\Hiszfb.dll> []
<{2F700E00-784F-4294-8C91-1C6E0D5D7012}><C:\WINDOWS\system32\Dmrtxn.dll> []
<{6B7A189D-3EDB-4717-8689-BC43AA3F514F}><C:\WINDOWS\system32\Dslj.dll> []
<{2B31EEAD-5E0D-48DD-BC42-63F1935F62AA}><C:\WINDOWS\system32\Nbjl.dll> []
<{1686882F-85A6-4AF9-AA88-0F430A30C3CE}><C:\WINDOWS\system32\Gfebbi.dll> []
<{770906B8-9670-4E6B-B6B2-FDFFC612C29B}><C:\WINDOWS\system32\Gzpxu.dll> []
<{388BF9B6-3725-476D-A2D9-5F10A8CD38DA}><C:\WINDOWS\system32\Tgojea.dll> []
<{FC67B5D7-4350-4A20-B879-AA218A4728BA}><C:\WINDOWS\system32\Wyon.dll> []
<{BF5ABE88-A600-4035-BB9E-9D5CF464AD24}><C:\WINDOWS\system32\Jdbc.dll> []
<{819957F9-AB47-4453-A1B1-3E98F34919FB}><C:\WINDOWS\system32\Uwld.dll> []
<{51E316E1-350F-4A15-A12D-0F4913871A80}><C:\WINDOWS\system32\Jpjgdo.dll> []
<{31EA3865-B366-4D53-890A-562E311CA7A2}><C:\WINDOWS\system32\Trld.dll> []
<{4907FE07-CD9D-4F1B-85F1-DE61D3848F3A}><C:\WINDOWS\system32\Tbfedx.dll> []
<{C827CAC4-CF44-47FD-8FEB-BB85111A3B5D}><C:\WINDOWS\system32\Kgnm.dll> []
<{1D228883-AD42-4CCF-B329-503C23E655C3}><C:\WINDOWS\system32\Vztc.dll> []
<{304755BC-4738-4858-8D33-9BB76FF29E13}><C:\WINDOWS\system32\Irbo.dll> []
<{82041690-C6C4-402C-949F-2CE2EBF8B47B}><C:\WINDOWS\system32\Zivarg.dll> []
<{B5F6DF43-079E-4F69-8C02-6593BAC19234}><C:\WINDOWS\system32\Xnzyon.dll> []
<{6C7FDBF7-A935-49B8-87B2-9031D2846377}><C:\WINDOWS\system32\Dvem.dll> []
<{1E1B4817-AF4B-43F7-828B-5BFBE74E454D}><C:\WINDOWS\system32\Ydzf.dll> []
<{10059AB6-29A5-432A-B93E-927B0CD4D271}><C:\WINDOWS\system32\Rijlb.dll> []
<{09C4BBCE-9F37-460B-9E99-C8039F377E75}><C:\WINDOWS\system32\Osve.dll> []
<{A23CB126-B6A7-4E90-B918-7067C5A30142}><C:\WINDOWS\system32\Rkrtrc.dll> []
<{3F572F24-EB2E-493B-8250-63E991E17AFD}><C:\WINDOWS\system32\Dceqoj.dll> []
<{FDEEE94F-4549-448B-ACBD-1E4D2DDEFFA3}><C:\WINDOWS\system32\Ptjlwd.dll> []
<{7B7F4CCB-937A-4CA4-98E8-FF2682D8130C}><C:\WINDOWS\system32\Zgqr.dll> []
<{ED4E5E78-6067-45E0-BC4C-09414CABAAE6}><C:\WINDOWS\system32\Yyrn.dll> []
<{B872FA94-22CD-4869-95C5-CC89139E6727}><C:\WINDOWS\system32\Njvtb.dll> []
<{30065522-228B-4865-AF5C-DE6EE34E7F84}><C:\WINDOWS\system32\Jpklpl.dll> []
<{9751CF9D-A025-4F63-A3F9-5CDAA3CEE80A}><C:\WINDOWS\system32\Lycuwd.dll> []
<{AB0778E4-5330-4DA3-B00C-4CE7B32A59D7}><C:\WINDOWS\system32\Kzkwb.dll> []
<{693F53F3-488C-4643-9B7B-6358B2694486}><C:\WINDOWS\system32\Tzygcv.dll> []
<{F994B303-11F1-44CF-AEDE-C92A5903CA34}><C:\WINDOWS\system32\Qrfoqa.dll> []
<{17415F9B-91F5-471D-A9E6-C0207C3D8115}><C:\WINDOWS\system32\Vxfcx.dll> []
<{D0D99273-E33C-4729-A60C-0EB00191FEC6}><C:\WINDOWS\system32\Iywuo.dll> []
<{55E45CEF-11C1-42EF-8C0A-E60183AB7A23}><C:\WINDOWS\system32\Qohwr.dll> []
<{76515961-2CB8-402A-906D-300C69432787}><C:\WINDOWS\system32\Vlbriw.dll> []
<{9AB1D527-92A6-4F7B-9525-E58D52E6F401}><C:\WINDOWS\system32\Ikstr.dll> []
<{D48CA8C6-73D9-4A72-B8DB-4186B84AAFE0}><C:\WINDOWS\system32\Sxiiim.dll> []
<{19A628EA-2F7A-41CC-9CF6-4BEC82829A78}><C:\WINDOWS\system32\Enprzp.dll> []
<{0C753A11-5270-4FA4-972B-66C0A70C24BE}><C:\WINDOWS\system32\Zzmg.dll> []
<{88388AB8-8CE1-4C75-9B1D-59BF7E27E4C5}><C:\WINDOWS\system32\Wmsnke.dll> []
<{CE53FD9D-CC83-4591-B818-0C982310FDF0}><C:\WINDOWS\system32\Hjuul.dll> []
<{9A3B4782-1FB1-43F3-9ADA-E99ADB546630}><C:\WINDOWS\system32\Gtgfel.dll> []
<{477BA4E9-36EA-420D-A5E9-43BD63F00BFC}><C:\WINDOWS\system32\Hwnpg.dll> []
<{2E94724E-D7B2-46C7-9F51-A6D8FA2E8C60}><C:\WINDOWS\system32\Mjyrhd.dll> []
<{7A12D127-DC76-40AA-936F-F62E8B328F58}><C:\WINDOWS\system32\Zusgjt.dll> []
<{CBAA40F0-A270-4E51-A312-744175176209}><C:\WINDOWS\system32\Zfdn.dll> []
<{7EA657E8-8EF8-4447-8930-2E8E57BDB1D7}><C:\WINDOWS\system32\Wqcn.dll> []
<{05F6F829-57E0-4D15-8579-49AAAE9E35C3}><C:\WINDOWS\system32\Bwjjg.dll> []
<{7E6A8F3B-E361-4FD0-9BFB-C3CE99142CB9}><C:\WINDOWS\system32\Kiaoh.dll> []
<{F8A3EA0E-64A9-4A00-969B-452CC49F166A}><C:\WINDOWS\system32\Yucj.dll> []
<{65CF6C18-C59B-476A-9D21-7C26639A6D1C}><C:\WINDOWS\system32\Botjo.dll> []
<{4146FF57-EBA0-4AF4-AD30-7E52F3701483}><C:\WINDOWS\system32\Ahlzbv.dll> []
<{51014228-8170-4C03-B5C9-7CE039BF781A}><C:\WINDOWS\system32\Llqs.dll> []
<{DA04D1E9-D93F-487B-862C-417EC56F822E}><C:\WINDOWS\system32\Vamcxe.dll> []
<{0718DF39-C50E-43B3-8AA5-9C4642A38CC0}><C:\WINDOWS\system32\Phtceh.dll> []
<{DF554B91-1CCD-4776-9D2A-EE597A49884F}><C:\WINDOWS\system32\Nhsoy.dll> []
<{FEF41701-AEB9-4D35-A1CA-88FCDBBB3A20}><C:\WINDOWS\system32\Wihl.dll> []
<{F3B97B00-BC65-4502-B783-25872DD13673}><C:\WINDOWS\system32\Lkvz.dll> []
<{64DBF881-5323-408A-BDF4-61C20B40AA67}><C:\WINDOWS\system32\Nuatu.dll> []
<{5EA3AB18-D2D0-4888-B55C-A3977349D4AE}><C:\WINDOWS\system32\Tjyyqj.dll> []
<{0D6AD996-34F7-43EF-9530-7501B366D1CC}><C:\WINDOWS\system32\Oljgqe.dll> []
<{186FB203-28DA-42E9-AFD3-8E41FB27C92C}><C:\WINDOWS\system32\Igjv.dll> []
<{5764487F-6E3D-48FD-869C-8A8C6FC31D2B}><C:\WINDOWS\system32\Ebtl.dll> []
<{3D6563CF-91F2-4415-AD07-CFD2FAC6A40C}><C:\WINDOWS\system32\Kxwi.dll> []
<{FDC89165-3375-4269-961B-0FD4D9396EBC}><C:\WINDOWS\system32\Pueiaq.dll> []
<{3A6497E6-F828-4F89-ADD5-8B1A66703FD3}><C:\WINDOWS\system32\Dtytu.dll> []
<{43718507-4081-463A-A06E-B719B2F3E223}><C:\WINDOWS\system32\Znype.dll> []

baohe - 2006-9-9 17:41:00

【回复“wuwants”的帖子】
少见的“马厩”！！
居然是清一色的DLL木马！！汗死！！
————————
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

上面这个注册表分支下的注册表项，只保留：<{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.]
其余的——全部删除！！
重启系统。
显示隐藏文件。
删除下列文件：

C:\WINDOWS\system32\Qlfcql.dll> []
C:\WINDOWS\system32\Kyeqoo.dll> []
C:\WINDOWS\system32\Bckezo.dll> []
C:\WINDOWS\system32\Uoacl.dll> []
C:\WINDOWS\system32\Lzunjk.dll> []
C:\WINDOWS\system32\Rmsmzj.dll> []
C:\WINDOWS\system32\Criuqj.dll> []
C:\WINDOWS\system32\Cblqa.dll> []
C:\WINDOWS\system32\Psafhf.dll> []
C:\WINDOWS\system32\Ktkhl.dll> []
C:\WINDOWS\system32\Rxtxdr.dll> []
C:\WINDOWS\system32\Hgyk.dll> []
C:\WINDOWS\system32\Xhnasv.dll> []
C:\WINDOWS\system32\Hiszfb.dll> []
C:\WINDOWS\system32\Dmrtxn.dll> []
C:\WINDOWS\system32\Gfebbi.dll> []
C:\WINDOWS\system32\Gzpxu.dll> []
C:\WINDOWS\system32\Tgojea.dll> []
C:\WINDOWS\system32\Wyon.dll> []
C:\WINDOWS\system32\Jdbc.dll> []
C:\WINDOWS\system32\Uwld.dll> []
C:\WINDOWS\system32\Jpjgdo.dll> []
C:\WINDOWS\system32\Trld.dll> []
C:\WINDOWS\system32\Tbfedx.dll> []
C:\WINDOWS\system32\Kgnm.dll> []
C:\WINDOWS\system32\Vztc.dll> []
C:\WINDOWS\system32\Irbo.dll> []
C:\WINDOWS\system32\Zivarg.dll> []
C:\WINDOWS\system32\Xnzyon.dll> []
C:\WINDOWS\system32\Dvem.dll> []
C:\WINDOWS\system32\Ydzf.dll> []
C:\WINDOWS\system32\Rijlb.dll> []
C:\WINDOWS\system32\Osve.dll> []
C:\WINDOWS\system32\Rkrtrc.dll> []
C:\WINDOWS\system32\Dceqoj.dll> []
C:\WINDOWS\system32\Ptjlwd.dll> []
C:\WINDOWS\system32\Zgqr.dll> []
C:\WINDOWS\system32\Yyrn.dll> []
C:\WINDOWS\system32\Njvtb.dll> []
C:\WINDOWS\system32\Jpklpl.dll> []
C:\WINDOWS\system32\Lycuwd.dll> []
C:\WINDOWS\system32\Kzkwb.dll> []
C:\WINDOWS\system32\Tzygcv.dll> []
C:\WINDOWS\system32\Qrfoqa.dll> []
C:\WINDOWS\system32\Vxfcx.dll> []
C:\WINDOWS\system32\Iywuo.dll> []
C:\WINDOWS\system32\Qohwr.dll> []
C:\WINDOWS\system32\Vlbriw.dll> []
C:\WINDOWS\system32\Ikstr.dll> []
C:\WINDOWS\system32\Sxiiim.dll> []
C:\WINDOWS\system32\Enprzp.dll> []
C:\WINDOWS\system32\Zzmg.dll> []
C:\WINDOWS\system32\Wmsnke.dll> []
C:\WINDOWS\system32\Hjuul.dll> []
C:\WINDOWS\system32\Gtgfel.dll> []
C:\WINDOWS\system32\Hwnpg.dll> []
C:\WINDOWS\system32\Mjyrhd.dll> []
C:\WINDOWS\system32\Zusgjt.dll> []
C:\WINDOWS\system32\Zfdn.dll> []
C:\WINDOWS\system32\Wqcn.dll> []
C:\WINDOWS\system32\Bwjjg.dll> []
C:\WINDOWS\system32\Kiaoh.dll> []
C:\WINDOWS\system32\Yucj.dll> []
C:\WINDOWS\system32\Botjo.dll> []
C:\WINDOWS\system32\Ahlzbv.dll> []
C:\WINDOWS\system32\Llqs.dll> []
C:\WINDOWS\system32\Vamcxe.dll> []
C:\WINDOWS\system32\Phtceh.dll> []
C:\WINDOWS\system32\Nhsoy.dll> []
C:\WINDOWS\system32\Wihl.dll> []
C:\WINDOWS\system32\Lkvz.dll> []
C:\WINDOWS\system32\Nuatu.dll> []
C:\WINDOWS\system32\Tjyyqj.dll> []
C:\WINDOWS\system32\Oljgqe.dll> []
C:\WINDOWS\system32\Igjv.dll> []
C:\WINDOWS\system32\Ebtl.dll> []
C:\WINDOWS\system32\Kxwi.dll> []
C:\WINDOWS\system32\Pueiaq.dll> []
C:\WINDOWS\system32\Dtytu.dll> []
C:\WINDOWS\system32\Znype.dll> []

Flying1889 - 2006-9-9 18:07:00

天啊...这...这比去啦草原大牧场还安逸

mopery - 2006-9-9 19:03:00

见怪不怪...老早前的...

灭之即可..

翹翹鈑oоО - 2006-9-9 19:36:00

这么多马?

yanmings - 2006-9-9 19:38:00

日志还没贴全，要贴全了.................
汗，这几天怎么老看到这种厉害的机子？

从头爱你 - 2006-9-9 19:54:00

.....真是骏马图......

westbeck - 2006-9-9 20:27:00

呵呵,好厉害

流氓の兔子 - 2006-9-9 20:39:00

头晕

天风孤绝 - 2006-9-9 22:37:00

真是好马啊，我真在写这样的马。
到时候那个大哥帮我测试哈。

影子110 - 2006-9-9 23:40:00

先斩去它们的根~~再解决它们~~
~
学习~

无限001 - 2006-9-10 1:26:00

好家伙,和我这个贴中所见的是不是同一种啊?

http://forum.ikaka.com/topic.asp?board=28&artid=8153449

和弦外音 - 2006-9-10 8:55:00

引用:

【mopery的贴子】见怪不怪...老早前的...

灭之即可..
………………

不知道老猫的办法行不行！mopery 你不说这是老早以前的木马嘛，那瑞星为什么杀不了呢？

闪电风暴 - 2006-9-10 9:21:00

厉害啊

闪电风暴 - 2006-9-10 9:24:00

怀疑那些木马的DLL都是同一个文件,找到其中一个后,用WINDOWS的搜索功能就可以找到其它的

710207 - 2006-9-10 9:51:00

这群马在HJ日志修复相关02项，删除对应文件也可以

瑞星卡卡安全论坛