瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 又是木马程序 Trojan-Downloader.Win32.QQHelper.mo

12   1  /  2  页   跳转

又是木马程序 Trojan-Downloader.Win32.QQHelper.mo

收藏
荣俊哥︻┻┲—
头像
快乐黄口狮
  • 帖子:199
  • 注册: 2006-08-29
  • 来自:
发表于: 2006-10-20 10:48 | 只看楼主 短消息 资料
字号: 1楼

又是木马程序 Trojan-Downloader.Win32.QQHelper.mo

QQ蜜病毒,到现在为止也杀不了

我中了Trojan-Downloader.Win32.QQHelper.mo这个病毒,我去网上找了点文章都是说进安全模式全盘查杀,但都不能成功删除掉,用超级兔子发现该病毒文件名“lpmox”会加载系统自动启动,该进程位于c:\windows\system32\lpmox文件夹内用工具-文件夹选项-查看-显示所有的文件会发现该程序。

下面是这个病毒的一些信息
Trojan.DL.QQHelper
病毒分类 WINDOWS下的PE病毒 病毒名称 Trojan.DL.QQHelper.u
WINDOWS下的木马程序
木马下载器。
能隐秘地从网络上下载文件到本地计算机并运行。

采用VC++和SDK方式编写。

该木马运行后有以下行为:
1、首先保证内存中只有一个自己在运行。

2、该木马还有多项功能,命令关键词语有以下这些:popupie:启动IE浏览器;popupad:弹出HTML对话框显示指定的内容;sethomepage:修改IE首页;update:在未提示用户的情况下从网络上下载文件并运行;genscore:将产生一个名为"Score.txt"的文本文件记录一些信息;setautorun:根据参数添加在SOFTWARE\Microsoft\Windows\CurrentVersion\Run键下添加开机自启动项,等等。命令会根据版本不同而不同。木马会从网络上下载命令文件。

3、该木马还可能通过修改物理内存达到隐藏进程的目的。

某网站已通过该木马疯狂提升ALEXA中的排名。

这是一个QQ表情自带的东西,采用Rootkit技术隐藏自身,正常模式下无法删除,请到安全模式下进行全盘杀毒!

提示:360安全中心论坛说用“木马杀客”或者“木马克星”能够清除,但我没验证过!

我想问下,有没有这个病毒的手动查杀方法.不胜感激~!~
最后编辑2006-10-22 22:10:22
分享到:
gototop
 
我是cc
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 11:00 | 短消息 资料
字号: 2楼

中了Trojan-Downloader.Win32.QQHelper.mo,卡巴提示发现: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\clokqu67.dll,重起也杀不掉!我错手删除了clokqu67.dll文件后,卡巴到是不报警了.可每次开机都会提示找不到动态连接clokqu67.dll,谁来帮帮我啊!!
gototop
 
我是cc
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 11:00 | 短消息 资料
字号: 3楼

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 10:24:03, 日期 2006-10-20
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Gadmei\GADMEI TVR\ScheduleTVR.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
D:\DOCUME~1\ADMINI~1\MYDOCU~1\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrator\My Documents\Huawei\PortalServer\218.2.135.36\PortalClient.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\eMule\emule.exe
F:\eMule\update\Update.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Thunder\Program\Thunder5.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.016\hijackthis1.99.1汉化第二版(7月16日).exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll (file missing)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - (no file)
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll (file missing)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - 启动项HKLM\\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [ScheduleTV] C:\Program Files\Gadmei\GADMEI TVR\ScheduleTVR.exe
O4 - 启动项HKLM\\Run: [DAEMON Tools-2052] "C:\Program Files\D-Tools\daemon.exe" -lang 2052
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - 启动项HKLM\\Run: [RTHDCPL] RTHDCPL.EXE
O4 - 启动项HKLM\\Run: [SkyTel] SkyTel.EXE
O4 - 启动项HKLM\\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] D:\DOCUME~1\ADMINI~1\MYDOCU~1\NEROPH~1\data\Xtras\mssysmgr.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-151?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-151?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
gototop
 
荣俊哥︻┻┲—
头像
快乐黄口狮
  • 帖子:199
  • 注册: 2006-08-29
  • 来自:
发表于: 2006-10-20 11:06 | 只看楼主 短消息 资料
字号: 4楼

HijackThis_815汉化版扫描日志 V1.99.1扫描日志

HijackThis_815汉化版扫描日志 V1.99.1
保存于      10:52:34, 日期 2006-10-20
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe
C:\WINDOWS\system32\Internat.exe
C:\WINDOWS\system32\spoolsv.exe
F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.188\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - F:\木马~1.杀\超级兔~1.8\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - F:\木马~1.杀\超级兔~1.8\MAGICSET\haokanbar.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [igfxtray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [UserFaultCheck] ; %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [kav] "F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe"
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] F:\木马.杀毒软件\超级兔子7.8\MagicSet\srrest.exe /autosave
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] F:\木马.杀毒软件\病毒检测工具专集\震荡波(Worm.Sasser)”病毒专杀工具\RavSasser.exe -Patch
O4 - HKCU\..\Run: [Internat.exe] Internat.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - G:\迅雷(Thunder) 5.4.0.226\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - G:\迅雷(Thunder) 5.4.0.226\Program\GetAllUrl.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - G:\迅雷(Thunder) 5.4.0.226\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - G:\迅雷(Thunder) 5.4.0.226\Thunder.exe
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\scieplugin.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\scieplugin.dll (file missing)
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F80DE49C-0701-46CC-8351-E234F180828B}: NameServer = 61.144.56.100,202.96.128.68
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: 卡巴斯基反病毒6.0 (AVP) - Unknown owner - F:\木马.杀毒软件\卡巴斯基(AVP) v6.0 简体中文版\avp.exe" -r (file missing)
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
gototop
 
我是cc
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 12:15 | 短消息 资料
字号: 5楼

顶起来再说!!!
gototop
 
我是cc
头像
初生襁褓狮
  • 帖子:10
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 13:15 | 短消息 资料
字号: 6楼

再顶!!!!!!!!
gototop
 
哈基姆同学
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 14:05 | 短消息 资料
字号: 7楼

引用:
【我是cc的贴子】中了Trojan-Downloader.Win32.QQHelper.mo,卡巴提示发现: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\clokqu67.dll,重起也杀不掉!我错手删除了clokqu67.dll文件后,卡巴到是不报警了.可每次开机都会提示找不到动态连接clokqu67.dll,谁来帮帮我啊!!

………………



cc我和你的情况一模一样!只不过我这里的那个文件不是clokqu67.dll,我是phwauu17.dll! 我也是错手删除了那个文件,之后的情况和你一样,然后又通过卡巴恢复了(卡巴有个自动备份的,你可以看一下)。不过现在就是,卡巴一直在提醒我有这个病毒,问我怎么处理!!!!

高手在哪里啊!救命啦~~~~

上面还有一个类似的帖子。大家为什么都是今天中毒了呢??
gototop
 
dreamgame
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 14:10 | 短消息 资料
字号: 8楼

我的也是一样啊
高手指点一下啊~~~
gototop
 
dreamgame
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 14:11 | 短消息 资料
字号: 9楼

大家顶起来啊~~~~
gototop
 
红鱼游过
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-10-20 14:34 | 短消息 资料
字号: 10楼

55,我的情况和上面两位仁兄一样,我的文件名是yevfzx21.dll,大虾快来帮忙呀
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT