又一位網友中了Viking Trojan PSW OnLineGames abo Trojan PSW SBoy b等
endurer 原創2007-04-04 第1版
昨晚,一位網友說,他的電腦工作速度很慢,瀏覽網頁時自動彈廣告,讓偶幫助檢查一下。
讓他先用HijackThis(可到http://endurer.ys168.com下載)掃描log傳過來一看,估計是Viking了。
讓他傳了幾個可疑檔案過來。
同時到江民網站下載了Viking專殺工具傳給網友查殺,果然清除了一些。
通過線上網頁分析網友傳回的pe_xscan的log,發現可疑專案:/===pe_xscan 07-03-17 by Purple Endurer2007-4-3 22:38:52Windows XP Service Pack 2(5.1.2600)管理員使用者組[System Process] * 0 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dllC:/WINDOWS/System32/svchost.exe * 892 c:/windows/system32/bxwhj.dll c:/program files/iesnap/navoct.dll | 2007-3-12 10:28:46 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38C:/WINDOWS/system32/EXPLORER.EXE * 1520 | 2006-10-25 8:32:36 C:/WINDOWS/system32/EXPLORER.EXE | 2006-10-25 8:32:36 C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk | 2007-4-3 11:44:24 C:/WINDOWS/system32/winform.dll | 2007-4-3 11:44:26 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 c:/windows/system32/bxwhj.dllC:/WINDOWS/Explorer.EXE * 1548 C:/PROGRA~1/WinKld/Winkld.dat | 2006-4-30 15:18:52 C:/PROGRA~1/gxcj/hydk.nls | 2007-4-2 17:45:12 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/Program Files/superutilbar/superutilbar.dll | 2007-3-19 9:44:48 C:/Documents and Settings/Administrator/Application Data/Foxy/LinkMaker.dll | 2006-12-24 13:34:50C:/WINDOWS/VM_STI.EXE * 1744 | 2005-2-28 17:53:4 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38C:/WINDOWS/system32/ctfmon.exe * 1836 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24C:/WINDOWS/system32/rundll32.exe * 288 C:/PROGRA~1/bvxe/ofkr.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/tkpw.dll | 2007-4-2 17:7:24 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38C:/WINDOWS/system32/nvsvc32.exe * 440 | 2005-12-10 3:6:0 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38c:/PROGRA~1/iesnap/navplay.exe * 2204 | 2007-3-12 10:28:22 c:/PROGRA~1/iesnap/navplay.exe | 2007-3-12 10:28:22 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24C:/Program Files/Internet Explorer/iexplore.exe * 1380 | 2004-8-17 20:0:0 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 C:/Program Files/superutilbar/superutilbar.dll | 2007-3-19 9:44:48 c:/PROGRA~1/iesnap/navpref.dll | 2007-3-12 10:28:8 c:/PROGRA~1/iesnap/navseg.dll | 2007-3-12 10:28:12 c:/PROGRA~1/iesnap/navneg.dll | 2007-3-12 10:28:20 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dllC:/WINDOWS/system32/conime.exe * 2764 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24C:/Program Files/QQ2006/QQ.exe * 5340 | 2006-5-9 17:23:22 C:/WINDOWS/system32/baqftx.dll | 2007-4-3 11:44:26 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24 C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dllC:/Program Files/QQ2006/TIMPlatform.exe * 6124 | 2006-4-25 16:13:36 c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38 C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24 C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24wsctf.exe * 4508
F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:/PROGRA~1/Yahoo!/ASSIST~1/Assist/YDRAGS~1.DLL (file missing)
O2 - BHO: 實用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:/Program Files/superutilbar/superutilbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: 實用搜索工具條2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:/Program Files/superutilbar/superutilbar.dll
O4 - HKCR/../Run: [BSserver] FileKan.exeO4 - HKCR/../Run: [foxy] "C:/Program Files/摩力游下載器/Foxy.exe" -trayO4 - HKCR/../Run: [EXPLORER.EXE] EXPLORER.EXEO4 - HKCR/../Run: [wsctf.exe] wsctf.exeO4 - HKCR/../Run: [5ikbi] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/winlog0n.exeO4 - HKCR/../Run: [mq2j0v88lr8b] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/rundl132.exeO4 - HKCR/../Run: [16jt8321q] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/iexpl0re.exeO4 - HKLM/../Run: [ASocksrv] SocksA.exeO4 - HKLM/../Run: [BigDogPath] C:/WINDOWS/VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)O4 - HKLM/../Run: [System] C:/Program Files/Common Files/System/Updaterun.exeO4 - HKLM/../Run: [winform] C:/WINDOWS/winform.exeO4 - HKLM/../Run: [nrauax] C:/WINDOWS/system32/baqftx.exeD:/autorun.inf/-----[AutoRun]open=sxs.exeshellexecute=sxs.exeshell/Auto/command=sxs.exe-----/E:/autorun.inf/-----[AutoRun]open=sxs.exeshellexecute=sxs.exeshell/Auto/command=sxs.exe-----/F:/autorun.inf/-----[AutoRun]open=sxs.exeshellexecute=sxs.exeshell/Auto/command=sxs.exe-----/O8 - IE右鍵選單附加項 : Foxy 下載 - res://C:/Program Files/摩力游下載器/Foxy.exe/download.htmO8 - IE右鍵選單附加項 : Foxy 搜尋 - res://C:/Program Files/摩力游下載器/Foxy.exe/search.htmO21 - SSODL - SysTime(88Dog.Kalendar) - {724C75F1-B757-408D-A50A-4CF99DA35D73} = C:/PROGRA~1/WinKld/WinKld.dllO21 - SSODL - hydk(Windows hydk Theme) - {7FCA49CC-AC89-473E-98EC-A62AFBDCA32A} = C:/PROGRA~1/gxcj/hydk.dll
O23 - 服務: Investor (Remote Route Service) - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/bxwhj.dll | Microsoft(R) Windows(R) Operating System | 5.1.2600.0 | szdj | Copyright (C) Microsoft Corporation 1990-2000 | 5.1.2600.0 | Microsoft Corporation| ? | szdj | szdj.dll(自動)O23 - 服務: jafm (Std jafm Service) - C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/bvxe/ofkr.dll,Service -s(自動)O23 - 服務: Navoct () - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/Program Files/iesnap/navoct.dll | 2007-3-12 10:28:46 | NAVOCT | 1, 0, 1, 1 | NAVOCT Module | Copyright 2006 | 1, 0, 1, 1 | | | NAVOCT | NAVOCT.DLL(自動)
O23 - 服務: SOCEESe (Indexing Data) - C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL,Export 1087(自動)
O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk
SHOWALL Type isn't dowrd===/
使用ProcView和IceSword終止程序:
C:/WINDOWS/system32/EXPLORER.EXEC:/WINDOWS/system32/wsctf.exeC:/WINDOWS/system32/algsrv.exeC:/WINDOWS/system32/baqftx.exeC:/WINDOWS/SYSTEM32/RUNDLL2000.EXE
用WinRAR刪除d、e、f盤下的 autorun.inf 和 sxs.exe。在c盤下發現 tel.xls.exe。
用HijackThis修復 F2--O21,刪除O23
用瑞星卡卡安全助手解除安裝 O24
解除安裝:實用搜索
重啟電腦到安全模式下
刪除檔案:C:/Documents and Settings/Administrator/LOCALS~1/Temp/LgSy0.dllC:/Documents and Settings/Administrator/LOCALS~1/Temp/Rav20.dllC:/Documents and Settings/Administrator/LOCALS~1/Temp/winlog0n.exeC:/Documents and Settings/Administrator/Temp/rundl132.exeC:/Documents and Settings/Administrator/Temp/iexpl0re.exeC:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxkC:/Program Files/Common Files/System/Updaterun.exeC:/WINDOWS/system32/baqftx.dllC:/WINDOWS/system32/baqftx.exec:/windows/system32/bxwhj.dllc:/windows/system32/EXPLORER.EXEC:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLLC:/WINDOWS/winform.exeC:/WINDOWS/system32/winform.dllc:/windows/system32/wsctf.dllc:/windows/system32/wsctf.exeC:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLLFileKan.exe(一般是在C:/WINDOWS/system32下)SocksA.exe(一般是在C:/WINDOWS/system32下)
刪除資料夾:C:/Documents and Settings/Administrator/Application Data/Foxyc:/program files/bvxec:/program files/gxcjc:/program files/iesnapc:/program files/WinKldC:/Program Files/superutilbar
用開始-->程式-->附件-->系統工具-->磁碟清理 來清理C盤
用WinRAR 清空 c:/windows/prefetch
檔案說明符 : D:/test/sxs.exe屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 23:25:37修改時間 : 2007-4-3 23:26:3訪問時間 : 2007-4-4 20:49:25大小 : 37725 位元組 36.861 KBMD5 : 25f7ddf928dcb04b51987d7e4bdde809
baqftx.exe與此相同。
Kaspersky 報為 Trojan-PSW.Win32.QQPass.se,瑞星 報為 Trojan.PSW.QQPass.rdr
檔案說明符 : D:/test/tel.xls.exe屬性 : A---語言 : 中文(中國)檔案版本 : 2.00說明 : 版權 : 備註 : 產品版本 : 2.00產品名稱 : FireWall Files公司名稱 : Microsoft Corp.合法商標 : 內部名稱 : test原始檔名 : test.exe建立時間 : 2007-4-3 23:20:40修改時間 : 2007-4-3 23:20:52訪問時間 : 2007-4-4 20:49:54大小 : 69632 位元組 68.0 KBMD5 : 40dbf5d5f83400a1901b9a7f8d294d5ealgsrv.exe與tel.xls.exe相同。
Kaspersky 報為 Trojan.Win32.VB.atg,瑞星 報為 Trojan.VB.vtj
檔案說明符 : D:/test/NewInfo.rxk屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 22:57:40修改時間 : 2007-4-3 22:57:45訪問時間 : 2007-4-4 20:54:18大小 : 27301 位元組 26.677 KBMD5 : 69e32435d00cff4f8ca09059e5dc6bfc
Kaspersky 報為 Trojan-PSW.Win32.Delf.qc,瑞星 報為 Trojan.PSW.Liumazi.kr
檔案說明符 : D:/test/wsctf.exe屬性 : A---語言 : 中文(中國)檔案版本 : 5.2600.2180說明 : Generic Host service for Win32 Services版權 : (C) Microsoft Corporation. All rights reserved.備註 : Generic Host service for Win32 Services產品版本 : 5.2600.2180產品名稱 : Microsoft Windows Operating System公司名稱 : Microsoft Corporation合法商標 : 內部名稱 : wsctf原始檔名 : wsctf.exe建立時間 : 2007-4-3 22:14:24修改時間 : 2007-4-3 22:14:28訪問時間 : 2007-4-4 20:58:20大小 : 24576 位元組 24.0 KBMD5 : cbdcf0ab0561540891a3e466147a4ce4
Kaspersky 報為 Virus.Win32.VB.bu,瑞星 報為 Trojan.PSW.SBoy.b
檔案說明符 : D:/test/winform.exe屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 22:14:3修改時間 : 2007-4-3 22:14:15訪問時間 : 2007-4-4 21:2:17大小 : 17920 位元組 17.512 KBMD5 : 72cf3bc3a233ec373303de7a81dd4051
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.es,瑞星 報為 Trojan.PSW.OnlineGames.aas
檔案說明符 : D:/test/winlog0n.exe屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 22:11:55修改時間 : 2007-4-3 22:13:8訪問時間 : 2007-4-4 21:5:10大小 : 33690 位元組 32.922 KBMD5 : 4cb1851156c0b3f6dda4092462f57222
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.kw,瑞星 報為 Trojan.PSW.OnLineGames.abo
檔案說明符 : D:/test/iexpl0re.exe屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 22:12:59修改時間 : 2007-4-3 22:13:17訪問時間 : 2007-4-4 21:6:58大小 : 52736 位元組 51.512 KBMD5 : 05366f5d07a2a45b3d076f4a27f21a74
檔案說明符 : D:/test/rundl132.exe屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 22:9:56修改時間 : 2007-4-3 22:12:10訪問時間 : 2007-4-4 21:16:20大小 : 33244 位元組 32.476 KBMD5 : dfd16dbc703e1359c22dffaf91251738
檔案說明符 : D:/test/Updaterun.exe屬性 : A---獲取檔案版本資訊大小失敗!建立時間 : 2007-4-3 22:32:4修改時間 : 2007-4-3 22:32:16訪問時間 : 2007-4-4 21:28:56大小 : 36864 位元組 36.0 KBMD5 : 42d61fba39892131e0c81472d291bc61