行业资讯网

木马PSW/Win32杀不掉

帖子标题:
木马PSW/Win32杀不掉

帖子内容:
现象:
历史操作:奇虎360安全卫士木马查杀历史报告

木马名称：Trojan/Win32.Mnless.ziz
路径：C:\\WINDOWS\\system32\\usrinit.exe
查杀时间 ：2007-12-16 09:28
木马名称：Trojan-PSW/Win32.OnLineGames.kto
路径：C:\\WINDOWS\\system32\\kvdxskma.dll

zhulinfeng    #2发表于 2007-12-16 10:00    
Common Objects - 20769fe180b0e43189203b2f7b728643
O40 - svchost.exe -  - C:\WINDOWS\system32\avzxkmn.dll -  - cd50541ebf978693b02e75b21627c66d
O40 - svchost.exe -  - C:\WINDOWS\system32\upxdnd.dll -  - 67ec935fa92df0ce2b55b855275463f6
O40 - svchost.exe -  - C:\WINDOWS\system32\WinForm.dll -  -
不一一粘贴了,
找个专杀吧.
 
   
 
yangbayi    #3发表于 2007-12-16 11:37    
这是什么意思啊
呵呵
我想知道哪里有这个病毒的专杀
 
   
 
zhulinfeng    #4发表于 2007-12-16 11:43    
“网游窃贼”Trojan.PSW.OnLineGames.es变种。

修改注册表开机自动运行，会注入到“explorer.exe”“svchost.exe”等进程中加载运行，隐藏自我，防止被查杀。

病毒会在系统文件夹system32下生成病毒文件“avzxkmn.dll”和“avwghmn.dll。

病毒运行后盗取被感染计算机的游戏帐号、游戏密码等信息，给游戏玩家造成非常大的损失。

(可以手动修改注册表，用强制删除工具删除并抑制病毒文件再次生成。)
 
   
 
zhulinfeng    #5发表于 2007-12-16 11:44    
upxdnd.dll病毒的清除

此为征途网游木马，清除方法如下：

1.在C盘搜索“upxdnd.dll”

2.使用强删除工具，删除病毒文件upxdnd.dll.

强删除工具在此下载说明：DOS级别的删除工具，可有效清除各类顽固文件)

xdelbox强删除工具http://www.fz49.com/plus/downloa ... DY1MjM0LnJhcg%3D%3D

也可到我的网盘里下载：http://www.mikebox.com/index.php?code=07633656（提取码为07633656）

3.在开始 运行里输入

regsvr32 /u c:\windows\system32\upxdnd.dll

回车

4.然后重启,清除完成
 
   
 
zhulinfeng    #6发表于 2007-12-16 11:45    
病毒名称：Trojan-PSW.Win32.OnLineGames.mq（Kaspersky）
病毒别名：Trojan.PSW.OnlineGames.aeq（瑞星）
　　　　　Win32.Troj.PswGame.mc.17408（毒霸）
病毒大小：17,408 字节
样本MD5：97290b914f131a4886b5c32186a1742c
样本SHA1：45cfcdca19c94f53f50aab521c80fa9e194fb170
关联病毒：
传播方式：恶意网页、其它病毒或木马下载

1. 删除木马启动项：
($('code1'));">[Copy to clipboard]:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"winform"="%Windows%\winform.exe"
2. 重新启动计算机
3. 删除木马文件：
%Windows%\winform.exe
%System%\winform.dll

在安全模式把c:\windows\temp
c:\Documents and Settings\用户名\Local Settings\temp
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
三个文件清空...
在用360安全卫士..查杀恶意软件这项就可以清除掉....
 
   
 
zhulinfeng    #7发表于 2007-12-16 11:49    
Trojan.PSW.Win32.NSword.cl

这是一个偷取偷取网络游戏《破天一剑》用户密码的病毒

    病毒运行后首先会判断自己是否在用户机器中运行过，如果没有运行过病毒会进行一系列的初始化工作，如果运行过病毒则会直接启动一个线程挂接键盘鼠标钩子，把动态库注入到其他进程中。

    初始化包括以下几项工作：

    1.释放病毒文件

    病毒会在System32路径下释放病毒本身kapjeaz.exe和动态库文件kapjezy.dll。病毒还会在C:\WINDOWS\Fonts路径下释放enpoafx.fon和kapjecs.dll这两个文件，这两个文件分别以密文和明文的方式存放着用户帐号密码发送网址。

    2.添加注册表自启动项

    病毒添加以下注册表项实现自启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = kapjezy.dll
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
"{5A321487-4977-D98A-C8D5-6488257545A5}" = kapjezy.dll

    3.遍历进程查找是否存在游戏进程china_login .mpr，如果存在则结束该进程。

    初始化结束后病毒会运行System32路径下的病毒文件kapjeaz.exe并把自己删除掉。

    动态库文件主要用来获取并发送用户帐号密码：

    动态库被加载后首先判断自己所在进程是否是游戏进程china_login.mpr，如果是则每隔1毫秒查找游戏登陆窗口获取用户输入的帐号密码并发送到http://qiuyulei888.04.wt.zitian. cn/ww/post.asp网址

    如果动态库所在进程不是游戏进程，则启动一个线程每隔2秒进行以下操作：

    首先通过挂接键盘鼠标钩子把动态库注入到其他进程。

    然后调用OpenProcessToken、LookupPrivilegeValue、AdjustTokenPrivileges函数提升自己权限。

    接着病毒添加以下注册表项实现禁用Windows自动更新、禁用防火墙的功能
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\
WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\ Standard Profile
Enable Firewall = 0

    然后遍历进程查找是否存在游戏进程china_login.mpr，如果存在则结束该进程。

    最后遍历进程查找是否存在反外挂程序进程TQAT.exe，如果存在则结束该进程。

安全建议：

    1 安装正版杀毒软件、个人防火墙和卡卡上网安全助手,并及时升级，瑞星杀毒软件每天至少升级三次。

    2 使用“瑞星系统安全漏洞扫描”，打好补丁，弥补系统漏洞。

    3 不浏览不良网站，不随意下载安装可疑插件。

    4 不接收QQ、MSN、Emial等传来的可疑文件。

    5 上网时打开杀毒软件实时监控功能。

    6 把网银、网游、QQ等重要软件加入到“瑞星帐号保险柜”中，可以有效保护密码安全。

清除办法：

    瑞星杀毒软件清除办法：

    安装瑞星杀毒软件，升级到20.18.31版以上，对电脑进行全盘扫描，按照软件提示进行操作，即可彻底查杀。
 
   
 
zhulinfeng    #8发表于 2007-12-16 11:51    
该病毒主要功能为窃取游戏《刀剑Online》的用户密码；病毒在被感染的系统上以隐蔽的方式运行，用户无法通过正常的方法禁止其运行。

    1．病毒运行后会将病毒创建副本以及释放动态库文件到本地系统中的指定位置，放出文件后执行脚本文件会将自身删除：
%WinNT%\Fonts\cadaafx.fon
%System%\sidjhzy.dll
%System%\sidjhaz.exe
%WinNT%\Fonts\sidjhcsa.dll

    其中sidjhzy.dll为病毒释放的动态库文件，病毒将加载此动态库实现主要功能； cadaafx.fon和sidjhcsa.dll为配置文件，存放病毒通信地址；病毒会将idjhzy.dll的属性设置为系统隐藏， sidjhcsa.dll的文件属性设置为Normal。病毒会放出文件名以DFD开头的脚本文件，病毒运行后会调用脚本实现病毒原文件的自删除，删除后，脚本文件会自动删除本身。
   
    2．病毒的主要功能通过加载其释放出的动态库sidjhzy.dll实现,其动态库文件的具体功能如下:

    （1）病毒会通过挂键盘和鼠标的钩子将动态库文件驻入到接收键盘和鼠标消息的进程中。

    （2）病毒会结束TQAT.exe（反外挂软件）进程。

    （3）病毒会结束游戏进程BO.EXE使得用户重新登陆偷取用户登陆信息。

    （4）病毒将起线程直接到内存中读取指定数据，获取用户的信息，通过HTTP方式发送到木马散播者的设定的URL---Http://www.XXXXXX.cn/xk4/post.asp中。

    （5）病毒会添加或修改如下注册项，破坏系统的安全设置（禁用Windows自动更新、禁用防火墙的功能）：
HKEY_LOCAL_MACHINE\ SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
NoAutoUpdate = 1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\ Standard Profile
Enable Firewall = 0

    添加如下注册表项实现病毒DLL的注入：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
"AppInit_DLLs" = SIDJHZY.DLL   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
\ShellExecuteHooks"{88847374-8323-FADC-B443-4732ABCD3788}" = SIDJHZY.DLL
 
   
 
zhulinfeng    #9发表于 2007-12-16 11:52    
360安全卫士试了吗?
 
   
 
zhulinfeng    #10发表于 2007-12-16 11:53    
对于已经确认的病毒文件可以用360粉碎器粉碎之.
 
   
 
游客 218.24.137.x     #11发表于 2007-12-31 08:12  
sfasdf