瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » !!超BT Trojan.PSW.Win32.OnlineGames变种!!!!!建议猫叔出专杀
雪山飞云 - 2007-10-12 10:47:00
1.一不小心中了Trojan.PSW.Win32.OnlineGames。还没弄清什么变种,ring已经被干掉,下面是中毒时的日志。
  1。1 木马下载临时文件
C:\Documents and Settings\Administrator\Local Settings\Temp\M2.exe 
C:\Documents and Settings\Administrator\Local Settings\Temp\smss.exe 
  1。2 explorer被加载C:\Program Files\Common Files\fjOs0r.dll
  1。3 IE被加载C:\Program Files\Internet Explorer\Onloor.dll
上面这几个东西被木马克星给做了,没法做样本了
  1.4  Explorer加载一推游戏后门:
C:\WINDOWS\system32\mhdoor0.dll> 
C:\WINDOWS\system32\wodoor0.dll> 
C:\WINDOWS\system32\qhdoor0.dll> 
C:\WINDOWS\system32\tldoor0.dll> 
C:\WINDOWS\system32\55550.dll> 
C:\WINDOWS\system32\dh3oor0.dll> 
C:\WINDOWS\system32\mydoor0.dll> 
C:\WINDOWS\system32\wgdoor0.dll> 
C:\WINDOWS\system32\wddoor0.dll> 
C:\WINDOWS\system32\qjdoor0.dll> 
C:\WINDOWS\system32\cqdoor0.dll> 
C:\WINDOWS\system32\wldoor0.dll> 
C:\WINDOWS\system32\dadoor0.dll> 
C:\WINDOWS\system32\rxdoor0.dll> 
C:\WINDOWS\system32\csdoor0.dll> 
C:\WINDOWS\system32\zxdoor0.dll>

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)


附件: 48055620071012103653.txt
雪山飞云 - 2007-10-12 10:49:00
1.5 然后注册表多了些我看不明白的东西(也被我删了):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <PostBootReminder><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows XP Publisher]
    <CDBurn><%SystemRoot%\system32\SHELL32.dll>  [(Verified)Microsoft Windows Publisher]
    <WebCheck><%SystemRoot%\system32\webcheck.dll>  [(Verified)Microsoft Windows Publisher]
    <SysTray><C:\WINDOWS\system32\stobject.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    <{438755C2-A8BA-11D1-B96B-00A0C90312E1}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Windows Component Publisher]
    <{8C7461EF-2B13-11d2-BE35-3078302C2030}><%SystemRoot%\system32\browseui.dll>  [(Verified)Microsoft Windows Publisher]
雪山飞云 - 2007-10-12 10:51:00
1。6
启动文件夹
[Microsoft Office]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Office.lnk --> D:\PROGRA~1\MICROS~1\Office10\OSA.EXE [Microsoft Corporation]> (安全起见,我也删了)
雪山飞云 - 2007-10-12 10:55:00
下面说下,这个木马的bt之出。
1 。 干掉瑞星,虽然也不是什么希奇事了;
  应该是C:\WINDOWS\system32\55550.dll 这东西,最早没有的。
2。 那些游戏后面加载除了加载[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks],还在加载鼠标右键菜单,隐藏的,我通过卡卡上网助手看的
雪山飞云 - 2007-10-12 11:01:00
3,更bt的是把我d/e盘的几乎所有*exe修改

附件: 48055620071012105007.jpg
雪山飞云 - 2007-10-12 11:02:00
e盘的

附件: 48055620071012105152.jpg
雪山飞云 - 2007-10-12 11:08:00
整个删注册表,然后删除病毒文件,花了我3,4个小时,到现在我还不知道该拿这些*exe怎么办,现在rav还是有报错(0X000000),看了下论坛的帖子,并没有什么c:\programfile\rising\rav\ws2_32.dll的文件,我瑞星装d盘的,被那东西干掉也可能跟我装在d盘有关

再线求救啊,各位大侠出出招啊,别把我硬盘给格了啊
newcenturymoon - 2007-10-12 12:59:00
http://forum.ikaka.com/topic.asp?board=28&artid=8375741参考这个 挂了几天了都
雪山飞云 - 2007-10-12 13:37:00
【回复“newcenturymoon”的帖子】
谢谢斑竹的帖子,可是我的rav还是报错(被感染了,重装都出错,因为没法卸载),所以*exe还是无法修复
天月来了 - 2007-10-12 13:46:00
去这贴里,下载工具卸载瑞星软件,并手工删除其安装目录下的所有残余文件。

http://forum.ikaka.com/topic.asp?board=201&artid=8378517

再去重装吧。
雪山飞云 - 2007-10-12 14:33:00
【回复“天月来了”的帖子】
我卸载了重装rav还是一样,打不开啊
baohe - 2007-10-12 15:16:00
我可不会写什么专杀。
这类广泛感染文件的病毒,如果不想格盘重装,必须先处理干净系统分区。系统分区处理干净前,先不要对非系统分区进行任何操作,以免造成“边处理边感染”的复杂局面。
处理系统分区,若需要借助外来工具软件时,要注意:移动存贮设备插拔过程有可能造成移动设备被感染、工具本身可能会被感染......
上述这些情况,如果有一个发生,就够你头疼了。
天全是病毒 - 2007-10-12 15:28:00
你去网上找个叫罗母病毒专杀试一下。估计可以。
1
查看完整版本: !!超BT Trojan.PSW.Win32.OnlineGames变种!!!!!建议猫叔出专杀
© 2000 - 2026 Rising Corp. Ltd.