网吧内近期中一特殊病毒,因为网吧是用镜像包读取,所以还未造成实际性的破坏,现在把病毒特征报出来请高手分析。
网吧内无盘系统是采用XPSP1,病毒每天晚上12点以后机器重启必中,现象为自动禁音,自动在缓存文件夹内生成upxdnd.exe,并从http//css。scriptt。in下载各类木马,生成iexpl0re.exe,winlog0a.exe,winlog0n.exe进程。在C:\Program Files下生成ah.bat,ah.exe,ycnt_nt3.exe,ycnt_nt4.exeycnt_nt5.exe,ycnt_nt6.exe,ycnt_nt7.exe,ycnt_nt8.exe,在注册表启动项里添加C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe,C:\WINDOWS\wsttrs.exe,C:\WINDOWS\iexpl0re.exe,C:\WINDOWS\winlog0a.exe。因为是无盘网络,无法进入安全模式,用杀毒软件无法完全清除。但是到凌晨3点以后该病毒便不会再发作。请各位高人指点下这个病毒该如何防范,是不是必须要打补丁才能防范?如果不打补丁的话有没有完全防范的方法?
诊断报告如下:
100 - 未知 - Process: BNClient.exe [] - C:\Program Files\Ardence\Ardence\BNClient.exe100 - 未知 - Process: iexpl0re.exe [] - C:\WINDOWS\iexpl0re.exe c:\Program Files\ycnt_nt1.exe100 - 未知 - Process: winlog0n.exe [] - C:\WINDOWS\winlog0n.exe c:\Program Files\ycnt_nt3.exeO4 - 未知 - HKLM\..\Run: [upxdnd] [Registry Editor] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exeO4 - 未知 - HKLM\..\Run: [wsttrs] [Control ACLs Program] C:\WINDOWS\wsttrs.exeO4 - 未知 - HKCU\..\Run: [sqgxrmdy3jgz08r] [] C:\WINDOWS\iexpl0re.exeO4 - 未知 - HKCU\..\Run: [jxd5lsxkf] [] C:\WINDOWS\winlog0a.exeO8 - 未知 - Extra context menu item: 上传到QQ网络硬盘 - E:\qq2006\AddToNetDisk.htmO8 - 未知 - Extra context menu item: 添加到QQ自定义面板 - E:\qq2006\AddPanel.htmO8 - 未知 - Extra context menu item: 添加到QQ表情 - E:\qq2006\AddEmotion.htmO8 - 未知 - Extra context menu item: 用QQ彩信发送该图片 - E:\qq2006\SendMMS.htmO9 - 未知 - Extra button: 启动迅雷(HKLM) - C:\Program Files\Thunder\Thunder.exeO9 - 未知 - Extra button: 浩方对战平台(HKLM) - E:\浩方对战平台\GameClient.exeO9 - 未知 - Extra button: 腾讯QQ(HKLM) - E:\qq2006\QQ.EXEO18 - 未知 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll"O23 - 未知 - Service: BNClient [Ardence Client Service] - C:\Program Files\Ardence\Ardence\BNClient.exe - (running)O23 - 未知 - Service: sicentnetsync [万象网络文件同步服务,可同步万象网管客户端及用户自定义文件。请使用万象网络文件同步服务端或万象网管客户端同步工具进行操作。] - C:\WINDOWS\System32\wxsyncli.exe - (not running)O23 - 未知 - Service: WinDHCPsvc [为远程计算机注册并更新 IP 地址。] - C:\WINDOWS\System32\\rundll32.exe windhcp.ocx,start - (not running)=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe
ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k NetworkService
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: Clsmn.exe [一款网吧管理软件客户端程序。] - C:\WINDOWS\System32\Clsmn.exe
100 - 安全 - Process: internat.exe [输入控制图标用于更改类似国家设置、键盘类型和日期格式。] - C:\WINDOWS\system32\internat.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k LocalService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k imgsvc
100 - 安全 - Process: conime.exe [console ime ime输入法控制台软件。] - C:\WINDOWS\System32\conime.exe
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\iexplore.exe
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\iexplore.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\System32\blank.htm
O2 - 安全 - BHO: (Thunder Browser Helper) - [迅雷附带下载监视器相关文件。] - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll
O3 - 安全 - Toolbar: (电台(&R)) - [是Windows Media Player播放器ActiveX控制相关文件。] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 安全 - HKLM\..\Run: [wxClient] [一款网吧管理软件相关程序。] C:\WINDOWS\System32\Clsmn.exe
O4 - 安全 - HKCU\..\Run: [internat] [输入法在任务栏里的图标] C:\WINDOWS\system32\internat.exe
O8 - 安全 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - 安全 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\System32\nvsvc32.exe - (not running)=======================================
O40 - winlogon.exe - - C:\WINDOWS\system32\LogUser.dll - - f139337731bdc467f8378e0221c46b67O40 - winlogon.exe - - C:\WINDOWS\system32\BNNotify.dll - - fe1cffbcb4942c1b6b90e4ef48cddebcO40 - winlogon.exe - - c:\program files\internet explorer\mudkdxqy.dll - - 017aa769105e3a5eb04a558880dd20c2O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\INDICDLL.dll - Keyboard Language Indicator Shell Hook Extension - 0416ddc2575d4afa613a3690a0a73e4aO40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\System32\NVRSZHC.DLL - NVIDIA Simplified Chinese language resource library - 5d6512586533ac3d577a0bbe4e928da0O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll - XunLeiBHO - 8915c81b9c015cf5571fad917a614a85O40 - Explorer.EXE - - c:\program files\internet explorer\mudkdxqy.dll - - 017aa769105e3a5eb04a558880dd20c2O40 - Explorer.EXE - - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll - - f29de04f0efc1f8bdddec1a01c257a08O40 - Explorer.EXE - - C:\WINDOWS\System32\wsttrs.dll - - b545e1776fa1d74af822ddfbbec6c53dO40 - Explorer.EXE - - C:\WINDOWS\System32\LgSyl.dll - - 35f1f347aa815757bc955827422c6b58O40 - Explorer.EXE - - C:\WINDOWS\System32\LgSym.dll - - 30f020bba85fd009a3d52488a4b4bbac=======================================
O41 - BNIStack - BXP Network Stack Interface Driver - C:\WINDOWS\system32\drivers\bnistack.sys - (running) - BXP Network Stack Interface Driver - Venturcom, Inc. - 6c3f29e00f1e7c139af53daa79fc9452O41 - BNNS - Intermediate Miniport Driver - C:\WINDOWS\system32\drivers\BNNS.sys - (running) - Intermediate Miniport Driver - VenturCom, Incorporated - 799378a55ca56f6a37506edad98a6016O41 - BNSM - BNSM - C:\WINDOWS\system32\drivers\bnsm.sys - (running) - - - c06e02d4457e0f7f4a37e5c3e804ec48O41 - BNSMDF - BootNIC SCSI Miniport Disk Filter - C:\WINDOWS\system32\drivers\bnsmdf.sys - (running) - BootNIC SCSI Miniport Disk Filter - VenturCom, Inc. - 9da93d2952d50914f72be13733c87efdO41 - d347bus - PnP BIOS Extension - C:\WINDOWS\system32\drivers\d347bus.sys - (running) - PnP BIOS Extension - - 5776322f93cdb91086111f5ffbfda2a0O41 - d347prt - SCSI miniport - C:\WINDOWS\system32\drivers\d347prt.sys - (running) - SCSI miniport - - b49f79ace459763f4e0380071be9cb45O41 - npkcrypt - nProtect KeyCrypt Driver - E:\QQ2006\npkcrypt.sys - (running) - nProtect KeyCrypt Driver - INCA Internet Co., Ltd. - 8bcb281a2540e7aff0cd00f9878fe21fO41 - PXDPNP - PXDPnp By Icezy - C:\WINDOWS\system32\drivers\PXDPNP.sys - (running) - PXDPnp By Icezy - PXDPnp By Icezy - 9aeb8a96fa949f1244dfa78b2234dcefO41 - RTL8023 - Realtek 10/100/1000 NDIS 5.1 Driver - C:\WINDOWS\system32\drivers\Rtlnic51.sys - (running) - Realtek 10/100/1000 NDIS 5.1 Driver - Realtek Semiconductor Corporation - 8b0b3474a8da1ab41050637cf34c0959O41 - VndI - VndI Device Driver - C:\WINDOWS\system32\drivers\VndI.sys - (running) - VndI Device Driver - VND - 73e77f82e6c7fb3d226e1f9e0880ecf6O41 - wxNDA - 万象网络硬盘驱动 - C:\WINDOWS\system32\drivers\wxNDA.sys - (running) - 万象网络硬盘驱动 - 成都吉胜科技 - 51d03460cee24bfc25634399f358cadfO41 - EagleNT - EagleNT - C:\WINDOWS\System32\drivers\EagleNT.sys - (not running) - - - O41 - ZSMC303 - Video streaming and Capture Device Driver - C:\WINDOWS\system32\drivers\usbVM303.sys - (not running) - Video streaming and Capture Device Driver - Vimicro Corporation - 9da37e9bd7afc025b7977ce4d9a606d4=======================================
360Safe.exe=3.1.0.1003
AntiAdwa.dll=2.2.5.1000
AntiEng.dll=3.0.2.2000
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
=======================================
操作历史报告:
----------查杀恶意软件历史----------
2007-02-28 20:28
查杀恶意软件 - POPNTS.DLL恶意插件 - 危险 -
查杀恶意软件 - U88财富快车 - 危险 - C:\WINDOWS\System32\IEHelper.dll
查杀恶意软件 - 搜易财富火箭 - 危险 - C:\WINDOWS\System32\IEHelper.dll
查杀恶意软件 - 百度超级搜霸 - 危险 - C:\WINDOWS\System32\iexp_log.txt
----------插件卸载操作历史----------
2007-03-01 00:45
插件管理 - 腾讯QQ附带的QQIEHelper插件 -
----------全面诊断修复历史----------
2007-02-28 20:28
O6 - 危险 - 禁止IE相关功能 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
=======================================
该病毒每晚必来一次,实在是烦人,请各位大虾指点迷津,小弟在此谢过先!!
