| 词条 | Win32.Troj.OnlineGames.61096 |
| 释义 | Win32.Troj.OnlineGames.61096 最新变种的不完全处理方案,该病毒通过sreng日志扫描以后通常可以发现以下问题。 病毒特征: winsock胁持----sqmapi32.dll 境项挟持----IEXPLORE32.sys/.win 驱动加载项目----mssock.sys 病毒注入项目----addrcqhelp.dll addrgjhelp.dll addrmshelp.dll allatl.dll qdshm.dll 2007-10-10 发现新病毒注入项目 cqatl.dll msatl.dll qqsgatl.dll 通过sreng日志扫描以后通常可以发现以下问题项目 注册表启动项目: [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] <{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\\Program Files\\Internet Explorer\\IEXPLORE32.Sys> [N/A] <{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\\Program Files\\Internet Explorer\\IEXPLORE32.win> [N/A] <{37C3125C-9CB6-4503-8F38-63D80ADEFA07}><C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\System6.ins> [N/A] <{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\\WINDOWS\\system32\\rsmydpm.dll> [] <{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}><C:\\WINDOWS\\system32\\kafyezy.dll> [] <{2960356A-458E-DE24-BD50-268F589A56A2}><C:\\WINDOWS\\system32\\avwlbmn.dll> [] <{5D47B341-43DF-4563-753F-345FFA3157D5}><C:\\WINDOWS\\system32\\kvmxema.dll> [N/A] <{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\\WINDOWS\\system32\\avzxdmn.dll> [N/A] <{334345F1-DACF-3452-CB7D-4620F34A1533}><C:\\WINDOWS\\system32\\rsztcpm.dll> [N/A] <{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\\WINDOWS\\system32\\kvdxcma.dll> [N/A] 2007-10-10 发现新病毒挟持项目 <{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\\WINDOWS\\system32\\avwgcmn.dll> [] <{18847374-8323-FADC-B443-4732ABCD3781}><C:\\WINDOWS\\system32\\sidjazy.dll> [N/A] <{2D561258-45F3-A451-F908-A258458226D2}><C:\\WINDOWS\\system32\\kvdxsbma.dll> [N/A] 驱动加载项目: [mssock / mssock][Stopped/Manual Start] <\\??\\C:\\WINDOWS\\system32\\mssock.sys><N/A> [mseam / mseam] <\\??\\C:\\WINDOWS\\system32\\mseam.sys> 10-9 注: 最近出现比较多的是下面这个驱动 有时候两个都会出现 [mseam / mseam] <\\??\\C:\\WINDOWS\\system32\\mseam.sys> Winsock 胁持项目: MSAPI Tcpip [TCP/IP] C:\\WINDOWS\\system32\\sqmapi32.dll(, N/A) MSAPI Tcpip [UDP/IP] C:\\WINDOWS\\system32\\sqmapi32.dll(, N/A) MSAPI Tcpip [TCP/IP] C:\\WINDOWS\\system32\\qdshm.dll(, N/A) MSAPI Tcpip [UDP/IP] C:\\WINDOWS\\system32\\qdshm.dll(, N/A) 10-9 注: 一般来说最近出现的变种 winsock基本就反应为sqmapi32.dll 和qdshm.dll中的一种修复方法好是一样的 注入其他进程的病毒文件 c:\\windows\\system32\\sqmapi32.dll c:\\windows\\system32\\addrcqhelp.dll c:\\windows\\system32\\addrgjhelp.dll c:\\windows\\system32\\addrmshelp.dll c:\\windows\\system32\\allatl.dll c:\\windows\\system32\\qdshm.dll 10-10 几天发现的新的注入项目 C:\\WINDOWS\\system32\\msatl.dll C:\\WINDOWS\\system32\\cqatl.dll C:\\WINDOWS\\system32\\qqsgatl.dll 10-9 注: 这个注入项目一般都没有改变 观察explorer的进程模块加载项目就可以找出来所有可疑项 (可以关注Sreng的正在运行的进程 explorer.exe进程的加载模块列表中文件描述为[N/A, ] 路径在C:\\WINDOWS\\system32\\的模块 例如: [PID: 1808 / Administrator][C:\\WINDOWS\\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\\WINDOWS\\system32\\sqmapi32.dll] [N/A, ] [C:\\WINDOWS\\system32\\qdshm.dll] [N/A, ] [C:\\WINDOWS\\system32\\allatl.dll] [N/A, ] [C:\\WINDOWS\\system32\\addrmshelp.dll] [N/A, ] [C:\\WINDOWS\\system32\\addrgjhelp.dll] [N/A, ] [C:\\WINDOWS\\system32\\addrcqhelp.dll] [N/A, ] 10-10 几天发现的另外一个例子 [PID: 1588 / xc][C:\\WINDOWS\\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\\WINDOWS\\system32\\sqmapi32.dll] [N/A, ] [C:\\WINDOWS\\system32\\msatl.dll] [N/A, ] [C:\\WINDOWS\\system32\\cqatl.dll] [N/A, ] [C:\\WINDOWS\\system32\\qqsgatl.dll] [N/A, ] 关于木马群一堆dll文件 请关注 启动项目管理的这里 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks] <{2960356A-458E-DE24-BD50-268F589A56A2}><C:\\WINDOWS\\system32\\avwlbmn.dll> [] <{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\\WINDOWS\\system32\\rsmydpm.dll> [] <{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\\WINDOWS\\system32\\avwgcmn.dll> [] <{334345F1-DACF-3452-CB7D-4620F34A1533}><C:\\WINDOWS\\system32\\rsztcpm.dll> [N/A] <{5D47B341-43DF-4563-753F-345FFA3157D5}><C:\\WINDOWS\\system32\\kvmxema.dll> [N/A] <{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\\WINDOWS\\system32\\kvdxcma.dll> [N/A] <{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\\WINDOWS\\system32\\avzxdmn.dll> [N/A] <{18847374-8323-FADC-B443-4732ABCD3781}><C:\\WINDOWS\\system32\\sidjazy.dll> [N/A] <{2D561258-45F3-A451-F908-A258458226D2}><C:\\WINDOWS\\system32\\kvdxsbma.dll> [N/A] 以上explorer.exe 进程和境项挟持里面谈到的 模块皆为病毒加载项目,可以添加到xdelbox的删除列表中 然后加上可能存在的驱动加载项目 这个病毒就可以自己清理了,注意并不是所有没有文件描述的文件都是病毒, 有文件描述的也不一定是良民,如果你不能确认请不要一冲动就删除了,可以到论坛发帖请其他朋友帮你分析下 [将方案保存文本放在桌面,没有操作完之前,不要打开任何网站、网页、QQ,不要进入任何分区。 预先下载好所有工具,看清楚步骤和要求。引自annygi ] 建议使用XDelBox删除以下文件:(XDelBox1.5下载) Xdelbox1.3操作 使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键, 选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质 (包括U盘,MP3,手机存储卡等)。[选择备份,勾选“抑制文件再生”有提示不存在该文件就忽略,继续添加其它文件] 复制内容到剪贴板 代码: c:\\windows\\system32\\sqmapi32.dll c:\\windows\\system32\\addrgjhelp.dll c:\\windows\\system32\\addrcqhelp.dll c:\\windows\\system32\\addrmshelp.dll c:\\windows\\system32\\allatl.dll c:\\windows\\system32\\qdshm.dll c:\\program files\\internet explorer\\iexplore32.win c:\\program files\\internet explorer\\iexplore32.sys c:\\windows\\system32\\kvdxcma.dll c:\\windows\\system32\\rsztcpm.dll c:\\windows\\system32\\avzxdmn.dll c:\\windows\\system32\\kvmxema.dll c:\\windows\\system32\\avwlbmn.dll c:\\windows\\system32\\kafyezy.dll c:\\windows\\system32\\rsmydpm.dll c:\\program files\\common files\\microsoft shared\\msinfo\\system6.ins c:\\windows\\system32\\mseam.sys c:\\windows\\system32\\mssock.sys C:\\WINDOWS\\system32\\avwgcmn.dll C:\\WINDOWS\\system32\\kawdbzy.dll C:\\WINDOWS\\system32\\sidjazy.dll C:\\WINDOWS\\system32\\swjqazc.dll C:\\WINDOWS\\system32\\kvdxsbma.dll 重要 你可以将xdelbox目录下的backup打包上传到可疑文件上传区。以供病毒工程师分析 重启以后删除注册表键值(打开 SREng ,依次点击“启动项目”->“注册表”,列表中显示注册表中启动信息内容。 点击选择需要删除的项目,然后点击“删除”按钮,弹出删除确认对话框,点击“是”删除,点击“否”取消。 引用: [{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}] <C:\\Program Files\\Internet Explorer\\IEXPLORE32.win> [{C5E87A05-F463-4841-B19E-DD3EC3862368}] <C:\\Program Files\\Internet Explorer\\IEXPLORE32.Sys> [{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:\\WINDOWS\\system32\\kvdxcma.dll> [{334345F1-DACF-3452-CB7D-4620F34A1533}] <C:\\WINDOWS\\system32\\rsztcpm.dll> [{4859245F-345D-BC13-AC4F-145D47DA34F4}] <C:\\WINDOWS\\system32\\avzxdmn.dll> [{5D47B341-43DF-4563-753F-345FFA3157D5}] <C:\\WINDOWS\\system32\\kvmxema.dll> [{2960356A-458E-DE24-BD50-268F589A56A2}] <C:\\WINDOWS\\system32\\avwlbmn.dll> [{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}] <C:\\WINDOWS\\system32\\kafyezy.dll> [{4E32FA58-3453-FA2D-BC49-F340348ACCE4}] <C:\\WINDOWS\\system32\\rsmydpm.dll> [{37C3125C-9CB6-4503-8F38-63D80ADEFA07}] <C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\System6.ins> <{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\\WINDOWS\\system32\\avwgcmn.dll> [] <{18847374-8323-FADC-B443-4732ABCD3781}><C:\\WINDOWS\\system32\\sidjazy.dll> [N/A] <{2D561258-45F3-A451-F908-A258458226D2}><C:\\WINDOWS\\system32\\kvdxsbma.dll> [N/A] 删除以下服务或者驱动:(可以使用sreng完成,启动项管理--服务选项"驱动程序或服务选中后 然后勾选"隐藏已认证的微软项目" 然后将下面名称的服务删除(选中有问题的服务后,点"删除服务", 点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务) (不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置)" 引用: [mssock / mssock] <\\??\\C:\\WINDOWS\\system32\\mssock.sys> [mseam / mseam] <\\??\\C:\\WINDOWS\\system32\\mseam.sys> 重要,不修复可能不能上网,推荐用金山清理专家2.0的自动修复修复下winsock 点击查看清理专家图解 引用: Winsock 胁持项目: MSAPI Tcpip [TCP/IP] C:\\WINDOWS\\system32\\sqmapi32.dll(, N/A) MSAPI Tcpip [UDP/IP] C:\\WINDOWS\\system32\\sqmapi32.dll(, N/A) MSAPI Tcpip [TCP/IP] C:\\WINDOWS\\system32\\qdshm.dll(, N/A) MSAPI Tcpip [UDP/IP] C:\\WINDOWS\\system32\\qdshm.dll(, N/A) 使用以下的软件清理工具清理下系统里面可能存在的病毒或者恶意软件残余 金山清理专家2.0 windows清理小助手, 由于勾选了“抑制文件再生”被删除文件同一个地方会有相同的文件名字文件夹,(并且开机会自动打开这些文件夹,请忽略。) 请一一进去将与原来病毒同名文件夹删除即可。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。