Trojan.Win32.Undef.qgo dao.exe

DAO.EXE
MD5:031F54C108E06D032A39A47FC87EB447
文件大小: 18.1 KB (18,576 BYTES)
                  32.0 KB (32,768 BYTES)
壳:UPACK 0.39
PS:这是一个MMC.EXE下载的,没想到相当猥琐,IFEO真猥琐,TINY TRACK挂了,所以这仅作为参考

病毒名称:http://www.virustotal.com/zh-cn/analisis/55e1e0f9df87abe673f40ae6b5d93979


【IFEO】
360rpt.exe
360Safe.exe
360tray.exe
adam.exe
AgentSvr.exe
AntiArp.exe
AppSvc32.exe
autoruns.exe
avconsol.exe
avgrssvc.exe
AvMonitor.exe
avp.com
avp.exe
CCenter.exe
ccSvcHst.exe
conime.exe
DrvAnti.exe
drwadins.exe
drwebscd.exe
drwebupw.exe
EGHOST.exe
FileDsty.exe
filemon.exe
FTCleanerShell.exe
FYFireWall.exe
GFRing3.exe
GFUpd.exe
GuardField.exe
HijackThis.exe
IceSword.exe
iparmo.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPF.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPfwSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
mmsk.exe
Navapsvc.exe
Navapw32.exe
nod32.exe
nod32krn.exe
nod32kui.exe
NPFMntor.exe
OllyDBG.EXE
OllyICE.EXE
PFW.exe
PFWLiveUpdate.exe
procexp.exe
QHSET.exe
QQDoctor.exe
QQKav.exe
Ras.exe
RavCopy.exe
RavMon.exe
RavMonD.exe
RavStub.exe
RavTask.exe
RavXP.exe
RawCopy.exe
RegClean.exe
regedit.exe
regmon.exe
RegTool.exe
rfwcfg.exe
rfwmain.exe
rfwProxy.exe
rfwsrv.exe
rfwstub.exe
RsAgent.exe
Rsaupd.exe
runiep.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
spiderml.exe
spidernt.exe
spiderui.exe
spml_set.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
taskmgar.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe
vsstat.exe
webscanx.exe
WoptiClean.exe


【驱动】
[zzxur / zzxur][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_tmp.bat><N/A>    ------------- Unknown,文件无法得到
[pqcxbyq / pqcxbyq][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\pqcxbyq.sys><N/A>    ------------ Rootkit.Win32.RESSDT.al

【其它】
删除自身
C:\WINDOWS\system32\drivers\beep.sys 被替换
C:\WINDOWS\system32\spmjkg.exe  -------------------------------- UPACK0.39 Trojan.DL.Win32.Undef.axl



【防范建议】
NTFS权限
SYSTEM32目录禁止新建文件文件夹
DRIVER目录禁止修改文件
组策略TEMP目录禁止运行(*.dat,*.sys,*.dll,*.pif,*.tmp,*.bat,*.cmd,*.com等等等等)

【清理流程】
注意此处的恶意文件名都是随机的,清理时请依情况更改
此处的工具都是已经下载好的(建议断网进行清除)

不要直接就拿ICESWORD查看可疑进程,建议工具改名运行
在这使用PSNULL3,结束可疑进程spmjkg.exe(没断网的话,不及早结束会中更多毒)
PSNULL3和RKU查看SSDT,发现被恢复了
于是,SRENG 2.7改名为321.exe,放到C盘根目录下
开始-运行-CMD回车
cd\回车
321 /escan回车
SRENG会在右下角出现,后台扫描
等待扫描完成,打开桌面上的SREngLogEm.LOG
找到恶意的驱动和启动项目
打开SMTDEL附带的数据生成器,将恶意文件完全路径输入进去(支持一些通配符)
SYSTEM\drivers\pqcxbyq.sys
Temp\*
SYSTEM\spmjkg.exe
勾选清除IFEO,DOS删除模式,重启删除模式
点生成,生成DAT文件,再打开SMTDEL主程序(和DAT文件放在一个目录),点击开始处理
会提示需要重启
重启后选择SMTDEL启动(默认)
然后开始执行删除
由于Temp\*这条指令,会询问是否删除所有文件,选Y即可
进入系统后,打开SRENG删除启动项目(如果还有IFEO项目,一条一条删掉即可,确保完全清除)
现在可以使用杀毒软件或者WINDOWS清理助手扫描关键区域和系统盘
提示BEEP.SYS被修改,删除它
找人帮忙或自己下载一个对应操作系统版本的BEEP.SYS放到
C:\WINDOWS\system32\drivers\
至此完全清除
本帖被评分 2 次
最后编辑天云一剑 最后编辑于 2008-10-26 10:54:05
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel