[转自微点论坛http://bbs.micropoint.com.cn/showthread.asp?tid=4047]
网络上查找的该病毒的一些介绍:
IE的主页被改成[url]http://www.*3448.com[/url]每次改了主页又自动弹回[url]http://www.*3448.com[/url];
将自己复制至Windows的system32文件夹下,重命名为zpj93.dll。(病毒文件名称随机不同)
在注册表的自动运行中写入名为tj的字符串项,使每次系统启动时调用Rundll32.exe运行之。
当系统运行360safe或其它带有kill名称的进程时,将计算机关闭。目前尚不清楚此病毒是否还会照此屏蔽其它的文件名……
今天朋友的一台机子的ie中了“病毒”,主页被修改为[url]http://www.*3448.com[/url],帮其远程协助开始推荐他用hj扫日志如下:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 10:56:30, 日期 2006-11-17
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrator\桌面\HijackThis1991zww\HijackThis1991zww.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\桌面\HijackThis1991zww\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O1 - Hosts: 125.91.14.230 [url]www.*my123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*hao123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*9991.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*haokan123.com[/url]
O1 - Hosts: MT O1 - Hosts: Accept-Ranges: bytes
O1 - Hosts: ETag: "0abf0bf666c71:439"
O1 - Hosts: Server: Microsoft-IIS/6.0
O1 - Hosts: X-Powered-By: ASP.NET
O1 - Hosts: Date: Fri, 17 Nov 2006
02:56:45 GMT O1 - Hosts: MZ?
O2 - BHO: EyeOnIE Class - {C14393E1-95FF-4DFF-9BE0-EA008D4EF930} - C:\PROGRA~1\test\BHOPLU~1.DLL
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4992865C-D5BA-4EF0-98EA-74A2D34413F6}: NameServer = 202.96.128.68,61.144.56.100
发现可疑项
C:\WINDOWS\system32\rundll32.exe(注:可能是被别的程序注入了rundll32.exe进程否则怎么会自动启动这个进程)
O1 - Hosts: 125.91.14.230 [url]www.*my123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*hao123.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*9991.com[/url]
O1 - Hosts: 125.91.14.230 [url]www.*haokan123.com[/url] (注:很明显hosts文件被修改)
O2 - BHO: EyeOnIE Class - {C14393E1-95FF-4DFF-9BE0-EA008D4EF930} - C:\PROGRA~1\test\BHOPLU~1.DLL(注:很可疑的进程居然注入到了explorer.exe进程)
首先手工修改c:\windows\system32\drivers\目录下的hosts文件,果然被改得一塌糊涂,删除其中如上面被改内容并设置文件属性为只读;(没有发现有3448的名称)
然后,手工修改ie主页发现无论怎么修改都是会被其修改回原来的3448.com;
是不是iexplore.exe也被其他模块注入了呢?
这时想到微点的进程综合信息可以查看这些模块信息,推荐朋友到微点官方网站下载微点软件安装;
朋友很是合作,立即下载安装(大概是被这个病毒害苦了)。
……
等待n分钟后,朋友安装重启回来,继续远程;
打开微点主界面,点击系统自启动信息(一般情况这种病毒都会随系统启动然后去修改注册表达到保护自身的目的),发现如下:
其中两个程序说明为其他软件的文件十分可疑,果然其中[color=
red]bhoplu~1.dll就是用hj扫描出来的那个启动项,真的是explorer.exe启动,看下路径更是确信无疑c:\program files\test\,注册表项为[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C14393E1-95FF-4DFF-9BE0-EA008D4EF930}]但仍不确定与3448.com有关,只能肯定他不是一个好东西;
再看上面那个文件18fi.sys注册表启动,键值为"18fm.exe"="C:\\WINDOWS\\system32\\18fm.exe C:\\WINDOWS\\system32\\drivers\\18fi.sys Rundll32"恩,与前面用hj查到的启动的rundll32.exe进程对应,肯定是18fm.exe这个程序把18fi.sys和rundll32.exe当参数调用了,最终启动的还是18fm.exe这个文件。但为什么18fi.sys的路径那里显示文件不存在呢,难道启动后自己把自己删除了?还是先找到18fm.exe再作定论;
打开系统的资源管理器才发现,这个文件也不存在了,哪里去了?
难道被微点删除了,去微点的有害程序隔离区察看,真的在这里
已经被微点处理了,真是令人信服;但怎么没有报警?察看下日志
看时间原来是在系统启动的时候,这些程序已经启动并要去做那些病毒的行为,被微点发现拦截处理了。而且报的是未知肯定是依据程序行为判断得出的结论。
再次利用微点的注册表修复,修复了被更改的主页,并顺便手工删除了BHOPLU~1.DLL及其注册表键值及3488病毒的run键值,打开ie不再自动链入3448.com网站,问题解决。
呵呵,用360安全卫士试试
中毒了,你去下载个windows优化大师就能修改!!
内容全部来源于网络收集,如有侵权,请联系网站删除!
QQ:24596024