我的机子一运行魔兽世界,就不停的弹出 http://files.henbang.net/Aced/201/133.htm?UnionOwnerID=14  是中了木马,但是我用RISING和AVG都查不出来,在网上也只搜到一篇文章.

中国破解联盟被挂马 及 分析报告和手动清除方案
2007年01月18日 星期四 下午 12:06
中国破解联盟被挂马h**p://www.cncrk.com/，病毒名为Trojan-Downloader.win32.agent.bac。至今其他杀毒软件均未报。


Trojan-Downloader.win32.agent.bac分析



一、 病毒标签：

病毒名称： Trojan-Downloader.win32.agent.bac

病毒类型： 木马

文件 MD5： BB4479A55AEB0BF0A1C9D18E2A4ED369

公开范围： 完全公开

危害等级： 4

文件长度： 168,170 字节

感染系统： windows98以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： NsPacK V3.7

命名对照：  金山 [无]

瑞星 [无]



二、 病毒描述：

该病毒为木马类，病毒运行后连接网络，下载病毒文件，并自动运行，修改注册表，添加启动项，以达到随机启动的目的。



三、 行为分析：

1、病毒运行后连接网络，下载病毒文件：

h**p://files.henbang.net          211.102.91.12

h**p://www.pcarm.com        61.129.45.121

h**p://counter.henbang.net    211.102.91.13

h**p://s89.cnzz.com                    222.77.187.189

h**p://lastbit.com                  209.162.178.14

h**p://tj.82211.net/tj/ins.htm  (统计中毒数的网址)



%Program Files%\Common Files\rundll32.exe          Trojan-DDoS.Win32.Agent.o

%Program Files%\tshz093.exe                                CNNIC安装包



下载的tshz093.exe运行后会初始值CNNIC，在%Program Files%\CNNIC\Cdn下衍生大量广告件。



2、修改注册表，添加启动项，以达到随机启动的目的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值：字串："SYSTEMS"="C:\\Program Files\\Common Files\\rundll32.exe"



3、该病毒被挂在中国破解联盟的主页上：

h**p://www.cncrk.com/



注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

四、 清除方案：

  1、使用安天木马防线可彻底清除此病毒(推荐)。

　 2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

        (1) 使用安天木马防线“进程管理”关闭病毒进程

rundll32.exe

        (2) 删除病毒文件

%Program Files%\Common Files\rundll32.exe

%Program Files%\tshz093.exe

删除文件夹%Program Files%\CNNIC

        (3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

键值：字串："SYSTEMS"="C:\\Program Files\\Common Files\\rundll32.exe"

五、部分代码：

0045D8A2  mov eax,csrss[11.0045D8D0                  ASCII "C:\Program Files\tshz093.exe"
0045D8AC  mov eax,csrss[11.0045D8F8                  ASCII "C:\Program Files\coopen_setup_51373.exe"
0045D8B6  mov edx,csrss[11.0045D924                  UNICODE "h＊＊p://files.henbang.net/Aced/201/133.htm?UnionOwnerID=3"
0045D9B9  mov eax,csrss[11.0045DAB0                  ASCII "C:\Program Files\Common Files\rundll32.exe"
0045D9CB  push csrss[11.0045DADC                    ASCII "C:\Program Files\Common Files\rundll32.exe"
0045D9D0  push csrss[11.0045DB08                    ASCII "h＊＊p://0.82211.net/12Y/rundll32.exe"
0045D9FA  mov edx,csrss[11.0045DB34                  ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
0045DA0D  mov edx,csrss[11.0045DB6C                  ASCII "SYSTEMS"
0045DA1C  mov edx,csrss[11.0045DAB0                  ASCII "C:\Program Files\Common Files\rundll32.exe"
0045DA28  mov edx,csrss[11.0045DB6C                  ASCII "SYSTEMS"
0045DA2D  mov ecx,csrss[11.0045DAB0                  ASCII "C:\Program Files\Common Files\rundll32.exe"
0045DA47  mov eax,csrss[11.0045DB7C                  ASCII "C:\Program Files\coopen\Coopen.exe"
0045DA53  mov eax,csrss[11.0045DBA8                  ASCII "C:\Program Files\CNNIC\Cdn\cdnup.exe"
0045DA65  push csrss[11.0045DBD0                    ASCII "C:\Program Files\tshz093.exe"
0045DA6A  push csrss[11.0045DBF0                    ASCII "h＊＊p://0.82211.net/webtmp/tshz093.exe"
0045DA7C  push csrss[11.0045DBD0                    ASCII "C:\Program Files\tshz093.exe"
0045DC2F  mov eax,csrss[11.0045DC6C                  ASCII "C:\Program Files\coopen_setup_51373.exe"
0045DCB4  mov edx,csrss[11.0045DCCC                  UNICODE "h＊＊p://tj.82211.net/tj/ins.htm"




症状倒是对,但是我的电脑里没有RUDLL32文件和进程,也没有CNNIC
启动项里也没有,更没上过那该死的网站.不知道怎么弄的,
   


有明白的大哥帮帮忙,目前我就魔兽受到影响,其他的倒没大碍,郁闷啊

Logfile of Kaka v2. 0. 2. 6 Scan Module v1. 0. 4. 5
Scan saved at 17:53:46, on 2007-02-13
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: Thunder Browser Helper - {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_007.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [racer] C:\Program Files\racer-han-cnc\racer.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &使用迅雷下载 - e:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\Program Files\Tencent\qq\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\Program Files\Tencent\qq\AddEmotion.htm
O9 - Extra Button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - e:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - e:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra Button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\game\Loader\GameClient.exe
O9 - Extra 'Tools' menuitem: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\game\Loader\GameClient.exe
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\qq\QQ.EXE
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\Program Files\Tencent\qq\QQ.EXE
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=about:blank
O18 - Filter : application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll
O18 - Filter : application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll
O18 - Filter : application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\system32\mscoree.dll
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: ewido anti-spyware 4.0 guard (ewido anti-spyware 4.0 guard) - Anti-Malware Development a.s. - e:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Macromedia Licensing Service (Macromedia Licensing Service) -  - "C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe"
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"

日志