最近本人中了一个貌似很牛B的病毒，搞了很久，没有杀掉。

最初是由于运行什么程序而中毒的我已经记不清了

病毒症状如下(我是win2000的系统)：
1：在c:\winnt\system32下生成一个olemdb32.dll和cdvxdraw32.dll
2：打开某些exe文件后，重起发现文件已经无法正常打开，从网上下载了原版回来比对，发现被我运行过的文件比原版文件大了20k
3：把木马克星打开，在随便运行什么程序，会报 在c:\winnt\system32下新建了个olemdb32.dl_文件
4：开QQ,木马克星报
C:\WINNT\system32\cdvxdraw32.dll文件被系统注入: [System Process] 程序
C:\WINNT\system32\cdvxdraw32.dll文件被系统注入: C:\WINNT\explorer.exe 程序
C:\WINNT\system32\cdvxdraw32.dll文件被系统注入: E:\腾讯QQ 2006 Beta 2\QQ.exe 程序
C:\WINNT\system32\cdvxdraw32.dll文件被系统注入: E:\腾讯QQ 2006 Beta 2\TIMPlatform.exe 程序

基本上症状就这么多，我扫了个log

2006-06-19,16:40:08

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195)
- 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Synchronization Manager><mobsync.exe /logon>  [Microsoft Corporation]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot>  [RealNetworks, Inc.]
    <bgoomain.exe><C:\PROGRA~1\baigoo\bgoomain.exe>  [BGoo]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]
    <Userinit><C:\WINNT\SYSTEM32\Userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []

==================================
启动文件夹
服务
[Adobe LM Service / Adobe LM Service]
  <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[Logical Disk Manager Administrative Service / dmadmin]
  <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
[PeanuthullCore / PeanuthullCore]
  <C:\Program Files\PeanutHull3\PhCore.exe -service><广东网域>

==================================
浏览器加载项
[Status Class]
  {7BDAF75A-0D6F-4F50-AFE9-333D08DF4005} <C:\Program Files\baigoo\BGooBHO.dll, >
[常用网址]
  {36B39F01-7B48-44AD-A165-5849CD8EF562} <C:\WINNT\system32\SHDOCVW.DLL, Microsoft Corporation>
[@msdxmLC.dll,-1@2052,电台(&R)]
  {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\system32\msdxm.ocx, Microsoft Corporation>
[Shockwave ActiveX Control]
  {166B1BCA-3F9C-11CF-8075-444553540000} <C:\WINNT\system32\macromed\Shockwave 10\Download.dll, Macromedia, Inc.>
[CEditCtrl Object]
  {488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINNT\system32\aliedit\AliEdit.dll, www.alipay.com>
[WUWebControl Class]
  {6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINNT\system32\wuweb.dll, Microsoft Corporation>
[Qzone Media Tools]
  {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} <C:\WINNT\system32\QZONEM~1.OCX, Tencent Technology (Shenzhen) Company Limited>
[photo_uploader Control]
  {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} <C:\WINNT\DOWNLO~1\PHOTO_~1.OCX, N/A>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.>
[&使用迅雷下载]
  <e:\Thunder\Program\GetUrl.htm, N/A>
[&使用迅雷下载全部链接]
  <e:\Thunder\Program\GetAllUrl.htm, N/A>
[使用网际快车下载]
  <D:\JetCar-v1.71\jc_link.htm, N/A>
[使用网际快车下载全部链接]
  <D:\JetCar-v1.71\jc_all.htm, N/A>

==================================
正在运行的进程
[PID: 148][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.00.2195.6601>
[PID: 172][\??\C:\WINNT\system32\csrss.exe]  <Microsoft Corporation><5.00.2195.6601>
[PID: 192][\??\C:\WINNT\system32\winlogon.exe]  <Microsoft Corporation><5.00.2195.6997>
[PID: 220][C:\WINNT\system32\services.exe]  <Microsoft Corporation><5.00.2195.7035>
    [C:\WINNT\system32\dmserver.dll]  <VERITAS Software Corp.><2195.6605.297.3>
[PID: 232][C:\WINNT\system32\lsass.exe]  <Microsoft Corporation><5.00.2195.7011>
[PID: 380][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 416][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 512][C:\WINNT\system32\stisvc.exe]  <Microsoft Corporation><5.00.2195.6656>
[PID: 560][C:\WINNT\System32\WBEM\WinMgmt.exe]  <Microsoft Corporation><1.50.1085.0100>
[PID: 584][C:\WINNT\system32\svchost.exe]  <Microsoft Corporation><5.00.2134.1>
[PID: 280][C:\WINNT\Explorer.EXE]  <Microsoft Corporation><5.00.3700.6690>
    [C:\WINNT\system32\olemdb32.dll]  <N/A><N/A>
    [C:\Program Files\Connectix\Connectix Virtual PC\VPCShExH.DLL]  <><1, 0, 0, 1>
    [C:\WINNT\system32\cdvxdraw32.dll]  <N/A><N/A>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [C:\WINNT\system32\WINABCX.IME]  <PKUETI><5.22.216>
    [C:\Program Files\baigoo\bgoohk.dll]  < ><1, 0, 0, 1003>
    [D:\Administrator\安全软件\Unlocker.v1.7.8.中文免安装版\UnlockerCOM.dll]  <N/A><N/A>
    [D:\Administrator\破解工具\UltraEdit-32\ue32ctmn.dll]  <><1, 0, 0, 1>
[PID: 2136][C:\Program Files\baigoo\bgoomain.exe]  <BGoo><1, 0, 0, 1003>
    [C:\Program Files\baigoo\bgoohk.dll]  < ><1, 0, 0, 1003>
    [C:\Program Files\baigoo\bgooex.dll]  <><1, 0, 0, 1005>
    [C:\WINNT\system32\olemdb32.dll]  <N/A><N/A>
    [C:\WINNT\system32\cdvxdraw32.dll]  <N/A><N/A>
[PID: 2704][C:\WINNT\system32\conime.exe]  <Microsoft Corporation><5.00.2195.6655>
    [C:\Program Files\baigoo\bgoohk.dll]  < ><1, 0, 0, 1003>
    [C:\WINNT\system32\olemdb32.dll]  <N/A><N/A>
    [C:\WINNT\system32\cdvxdraw32.dll]  <N/A><N/A>
[PID: 2172][D:\Administrator\安全软件\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>
    [C:\Program Files\baigoo\bgoohk.dll]  < ><1, 0, 0, 1003>
    [C:\WINNT\system32\olemdb32.dll]  <N/A><N/A>
    [C:\WINNT\system32\cdvxdraw32.dll]  <N/A><N/A>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINNT\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================




把那个被感染的exe上网杀了下毒
乖乖
基本全免杀



结果如下：


AntiVir 6.35.0.13 06.19.2006 Worm/Bagle.gen
Authentium 4.93.8 06.16.2006  no virus found
Avast 4.7.844.0 06.19.2006 Win32:Sality-O
AVG 386 06.16.2006  no virus found
BitDefender 7.2 06.19.2006  no virus found
CAT-QuickHeal 8.00 06.17.2006  no virus found
ClamAV devel-20060426 06.18.2006  no virus found
DrWeb 4.33 06.19.2006  no virus found
eTrust-InoculateIT 23.72.42 06.18.2006  no virus found
eTrust-Vet 12.6.2263 06.19.2006 Win32/Sality!generic
Ewido 3.5 06.19.2006  no virus found
Fortinet 2.77.0.0 06.18.2006  no virus found
F-Prot 3.16f 06.17.2006  no virus found
Ikarus 0.2.65.0 06.19.2006  no virus found
Kaspersky 4.0.2.24 06.19.2006  no virus found
McAfee 4786 06.16.2006  no virus found
Microsoft 1.1441 06.19.2006  no virus found
NOD32v2 1.1607 06.19.2006  no virus found
Norman 5.90.21 06.16.2006  no virus found
Panda 9.0.0.4 06.18.2006  no virus found
Sophos 4.06.0 06.19.2006  no virus found
Symantec 8.0 06.19.2006  no virus found
TheHacker 5.9.8.162 06.19.2006  no virus found
UNA 1.83 06.19.2006  no virus found
VBA32 3.11.0 06.18.2006  no virus found
VirusBuster 4.3.7:9 06.18.2006 no virus found




在把那几个文件发上来（两个dll和一个被感染的exe，大家帮忙看看这是什么毒啊。。。

有兴趣的话写个专杀出来，我感觉这个病毒非常恐怖！



我进安全模式把那个dll删了

又在注册表扫了一遍，确认没残留的地方了就重起了

哪知道。。。。

运行某个exe文件后，那个dll又出现了。。

我怀疑是不是自从我中毒之后所有被我运行过的exe文件都中毒了，要是那样的话就惨了！！！

普通删是删不掉的了
我拿Unlocker看了一下是哪些进程在调用这个dll

发现。。。

[System Process]
conime.exe
TIMPlatform.exe
QQ.exe
explorer.exe
IEXPLORER.exe
Unlocker.exe

你说奇怪不？


[System Process]这个都在调用

还有，我开了什么程序，就有什么程序。。。


恐怖！！！！！！






这里不能传附件，我把附件放人家服务器上了，希望老大能帮忙检测一下啊！！！

http://www.fzeol.com/admin/cdvxdraw32.dll.rar
http://www.fzeol.com/admin/olemdb32.dll.rar

这个是受感染的exe文件
http://www.fzeol.com/admin/http.rar

我也中了.几乎所有EXE文件增加20K

LZ样本下不下来~~~！

你扫个完整的SRENG日志看看吧

病毒是越来越猖狂了！！

该用户帖子内容已被屏蔽

这个还真没见过，期待样本～亲自试试了～