`
caobihole
  • 浏览: 949193 次
文章分类
社区版块
存档分类
最新评论

强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

 
阅读更多

强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

endurer 原创
2008-01-25 第1版

前几天,一位网友说最近他的电脑中的金山毒霸天天报告发现病毒,而且IE出现与

遭遇sqmapi32.dll,kvmxfma.dll,rarjdpi.dll,google.dll,a0b1.dll等
http://blog.csdn.net/Purpleendurer/archive/2007/11/07/1871409.aspx
http://endurer.bokee.com/6522203.html
http://blog.nnsky.com/blog_view_222833.html

相似的症状,即不定期弹广告窗口,打开任意网页顶都可能出现推荐FireFox的信息,让偶帮忙检修。

先检查金山毒霸的杀毒日志,摘录一段如下:

/---
风险程序2008-01-19 14:51:36C:/WINDOWS/system32/wbem/knqtybe0.dllWin32.Adware.AdMoke.js.604672跳过,未处理
风险程序2008-01-19 14:51:36C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLLWin32.Adware.MoKeADT.of.870400跳过,未处理
风险程序2008-01-19 14:51:36c:/windows/system32/azagxmbtwehqj.dllWin32.Adware.ejok.g.584192跳过,未处理
风险程序2008-01-19 14:51:36c:/windows/system32/ebbaozknpdtis.dllWin32.Adware.ejok.g.584192跳过,未处理
风险程序2008-01-19 14:51:36c:/windows/system32/OSWAEHKOS.DLLWin32.Adware.Admoke.fg.574976跳过,未处理
风险程序2008-01-19 14:51:36c:/windows/system32/rxjh_2.exeWin32.Adware.Adloader.m.106496跳过,未处理
风险程序2008-01-18 12:27:46C:/WINDOWS/system32/wbem/KNQTYBE.DLLWin32.Adware.AdMoke.js.604672跳过,未处理
风险程序2008-01-18 12:27:46C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLLWin32.Adware.MoKeADT.of.870400跳过,未处理
风险程序2008-01-18 12:27:46c:/windows/system32/OSWAEHKOS.DLLWin32.Adware.Admoke.fg.574976跳过,未处理
风险程序2008-01-18 12:27:46C:/WINDOWS/system32/wbem/KNQTYBE.DLLWin32.Adware.AdMoke.js.604672操作失败
风险程序2008-01-18 12:27:46C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLLWin32.Adware.MoKeADT.of.870400操作失败
风险程序2008-01-18 12:27:46c:/windows/system32/OSWAEHKOS.DLLWin32.Adware.Admoke.fg.574976操作失败
---/

同时发现网友的电脑无法进行复制/粘贴操作,晕!

先到 http://endurer.ys168.com 下载 HijackThis 来分析罢,在 HijackThis 的log中发现如下可疑项:
/---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:58, on 2008-1-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O2 - BHO: google Class - {CE7C3CF0-4B15-11D1-ABED-709549C10531} - C:/WINDOWS/ILOVEG~1/google.dll
O2 - BHO: (no name) - {F89D750D-BDBB-4B04-B893-F2F228138F5F} - C:/WINDOWS/system32/doqeuraqsr.dll

O4 - HKCU/../Run: [PictureShow] "d:/program files/PictureShow/poco_tools.exe" -p PictureShow
O4 - HKCU/../Run: [PICer] "d:/program files/PICer/poco_tools.exe" -p PICer

O4 - HKLM/../Policies/Explorer/Run: [zhqbdf] rundll32.exe C:/WINDOWS/system/zhqbdf080116.dll mymain
O4 - HKLM/../Policies/Explorer/Run: [zsms] rundll32.exe C:/WINDOWS/system32/mcdsrv16_080119.dll start

O18 - Filter hijack: text/html - {CF845CF8-833D-4F3E-9579-8944159650A6} - C:/WINDOWS/system32/wbem/KNQTYBE.DLL
---/

关闭所有IE和文件夹窗口,修复~

http://purpleendurer.ys168.com 下载 FileInfo、bat_do对log中的可疑文件、毒霸报告但未清除的病毒文件的进行信息提取、打包和延时删除。

下载 DrWeb CureIt! 扫描,又发现并清除一批恶意程序。

重启电脑后,金山毒霸还是提示发现病毒……不过复制/粘贴功能恢复正常了。

用机子中原有的360卫士扫描,又十年干掉了两个恶意程序。

下载pe_xscan 扫描了 log 并分析,发现如下可疑项:
/===
pe_xscan 08-01-19 by Purple Endurer
2008-1-20 22:45:17
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 364 
  C:/WINDOWS/SYSTEM32/OSWAEHKOS.DLL | 2007-10-1 11:46:2 
C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 1072 
  C:/WINDOWS/SYSTEM32/WBEM/TXAEILOTWZC.DLL | 2007-9-27 23:37:46


O23 - 服务: 2HRHUZB (2HRHUZB) - SYSTEM32/DRIVERS/2HRHUZB.SYS (引导) 
O23 - 服务: DWSHD () -C:/WINDOWS/SYSTEM32/DRIVERS/DWSHD.SYS (禁用) 
O23 - 服务: NVCJRYFMT (EMVDMUCKSAIQYFO) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K VHTFSCNXITD ->C:/WINDOWS/SYSTEM32/OSWAEHKOS.DLL | 2007-10-1 11:46:2(自动) 
O23 - 服务: TWBFJMQUYCF (YBFJNRUYBGKNS) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K DHKOSWADHLOSXB ->C:/WINDOWS/SYSTEM32/WBEM/TXAEILOTWZC.DLL | 2007-9-27 23:37:46(自动) 
O23 - 服务: V8360NUJ1 (V8360NUJ1) - SYSTEM32/DRIVERS/V8360NUJ1.SYS (引导) 
O23 - 服务: W32TIME (WINDOWS TIME) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K NETSVCS ->C:/WINDOWS/SYSTEM32/WBEM/KIPQNFVNX.DLL (自动)
===/

DWSHD.SYS 很可能是之前使用的 DrWeb CureIt! 释放的东东

Google了一下,在http://spywaredlls.prevx.com/RRIHDC43518690/DWSHD.SYS.html有如下说明:

Common File Name: DWSHD.SYS
Common Path: %TEMP%/RARSFX2/
Vendor Information: DrWeb Ltd.
Product Information: Dr.Web BruteForce driver
Version Information: 4.44.0.0
File Name Structure: Normal
File and Path Structure: Normal


还是用FileInfo、bat_do进行可疑文件的信息提取、打包和延时删除。

不过 2HRHUZB.SYS 无法操作,到 http://endurer.ys168.com 下载 IceSword,将它复制了一个打包备份后强制删除。

http://endurer.ys168.com 下载 瑞星杀毒助手Aide4Rav,使用瑞星在线免费扫描,结果如下:

2008-1-21 21:39:24 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
c:/windows/winudmp32.txt>>Aspack212r AdWare.Win32.Admoke.wcf
C:/WINDOWS/my_70338.exe Trojan.DL.Win32.Mnless.qp
C:/WINDOWS/tempaq Trojan.Win32.Undef.bpj
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/FKY8WICN/real[1].htm Hack.Exploit.Script.Small.g
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/C5I7CR8X/14[1].htm Trojan.DL.Script.JS.Agent.mav
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/C5I7CR8X/real[1].htm Hack.Exploit.Script.Small.ae
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/MVMXMRIT/06014[1].htm Trojan.DL.Script.Small.m
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/MVMXMRIT/dm[1].htm Hack.Exploit.Script.Small.aj
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/CF8VI5EH/614[1].htm Hack.Exploit.Script.Small.ak
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/yeSetup.exe Dropper.Win32.Agent.zbx
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/up.exe Trojan.Win32.Agent.vsw
c:/documents and settings/lenovo/doctorweb/quarantine/zhqb080116.exe>>upack0.36 Trojan.Win32.Undef.bqd
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/zhqbdf080116.#ll Trojan.Win32.KillAV.gfk

都用瑞星杀毒助手删除了。

打开注册表编辑器,删除O23的项目。

再次重启电脑,毒霸不再报告发现病毒了~


文件说明符 : C:/Windows/system32/wbem/TXAEILOTWZC.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-27 23:37:45
修改时间 : 2007-9-27 23:37:46
访问时间 : 2008-1-20 0:0:0
大小 : 1348096 字节 1.292 MB
MD5 : 03e1dfbc2bbfb4488364362e52a8fe36
SHA1: 25E83A402B7F5B8CA1B7C8EC07A86E37561E270F
CRC32: 62d46428

Kapsersky 报为 not-a-virus:AdWare.Win32.AdMoke.iu,瑞星报为 AdWare.Win32.Admoke.wck

文件说明符 : C:/Windows/system32/OSWAEHKOS.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-1 11:46:1
修改时间 : 2007-10-1 11:46:2
访问时间 : 2008-1-20 0:0:0
大小 : 574976 字节 561.512 KB
MD5 : cce5c15dc6b2c9d3ff3fc021e80d098e
SHA1: 36970B51D306F9DA24FE61945716C147881D300D
CRC32: 790bd6f4

Kapsersky 报为 not-a-virus:AdWare.Win32.AdMoke.oe,瑞星报为 Adware.Win32.Admoke.fg


文件说明符 : D:/test/2hrhuzb.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-25 21:38:16
修改时间 : 2008-1-21 21:23:16
访问时间 : 2008-1-25 0:0:0
大小 : 24512 字节 23.960 KB
MD5 : 66131e73690f2e2c3b618448fc7e7760
SHA1: FE39A85F838FB722E74CB11E6A5DB389817B55B3
CRC32: cff8780b

Kapsersky 报为 Trojan-Downloader.Win32.Hmir.rn,瑞星报为 RootKit.Win32.Mnless.ft

分享到:
| 开源软件处于攻击下?
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

    Android摄像头(摄像头软件所有功能)

    Android摄像头,包含摄像头所有功能,功能完善,适配所有手机,可以直接应用在项目之中。

    XnView-win-small.exe

    XnView is an efficient multimedia viewer, browser and converter. Really simple to use! Support of more than 500 image formats500 image formats . No Adware, No Spyware

    BPS Spyware Adware Remover v9.4.0.6

    软件介绍 帮助你防御以及快速清除各种间谍软件和广告软件,该工具还可以监视内存、阻止弹出菜单、管理启动项目列表等等,最大限度保证你的个人信息安全。 Tags: BPS Spyware Adware Remover

    dbg_x86_6.0.17.0.exe

    dbg_x86_6.0.17.0.exe (的Win32内阁自解压)是一个可执行的软件微软( R ) Windows (注册商标) 2000操作系统版本6.0.0的微软公司。 dbg_x86_6.0.17.0.exe version 6.0.0 is most commonly found under the ...

    Adware-Removal-Tool-

    Adware-Removal-Tool-

    AdwCleaner(工具栏和广告清除) v7.2.6.0 Beta.zip

    软件支持 IE、Firefox、Google Chrome、Opera…等各种常见浏览器。软件功能强大,可以清除系统和浏览器中的广告软件、工具栏以及各种莫名其妙的软件。软件界面美观简洁、简单全面、实用方便,无需培训,即可快速上手...

    winmd5free_jb51.rar

    Supports almost all Windows platforms including Microsoft Windows 95, 98, 2000, Me, XP, 2003, Vista, Windows 7, 8... No spyware or adware bundle. Small size, an effective and tiny tool for data security.

    PDF密码破解器PDF Password Cracker Pro

    本人亲自试验测试了从大家论坛下载的外研社·现代德汉汉德词典(http://club.topsage.com/thread-158638-1-1.html),密码可以破解~~~若用Norton,可能检测出Adware.Gen,这是广告程序,广告程序对计算机的危害不大,...

    ARP.rar_Adware_C#广告_广告

    刷广告插件不错的代码,值得下再,效果发好

    wzctool.exe英文版

    WZCTool.exe is an essential component of windows operating system which located in C:\windows\system32. WZCTool.exe error is caused by program confliction within the related file. It is the most ...

    wagtailsweetcaptcha:Wa表单页面的简单sweetcaptcha字段

    重要的恶意软件问题: ://blog.sucuri.net/2015/06/sweetcaptcha-service-used-to-distribute-adware.html g甜Captcha g形式SweetCaptcha形式字段/小工具集成应用程序。 wagtailsweetcaptcha提供了一种使用集成...

    Combating Spyware in the Enterprise(syngress安全图书)

    using FireFox, MacOSX, or Linux; patching and updating, machine restrictions, shielding, deploying anti-spyware, and re-imaging. The book concludes with an analysis of the future of spyware and what ...

    恶意软件清理助手 V2.89 Build 023

    209、软告(Adware.Cydoor) 210、SysManager 211、Winform/mppds 212、百度搜索伴侣 213、VMN Toolbar 214、番茄吧工具条 215、qqzheng广告软件 216、cpdbhq38 217、SoDuiSearch 218、Resource444 219、NNqkcm 220、...

    uninst.exe

    是卸载程序的主程序uninst - uninst.exe - 进程信息 进程文件: uninst 或者 uninst.exe 进程名称: UN-INSTallation executable 描述: install 英文是安装的意思,加个前缀Un就是...Adware: 否 病毒: 否 木马: 否

    Adware Removal Tool By TSA

    一个可以清楚windows系统主页劫持的软件

    adwcleaner_4.203

    很多人的电脑中都有恶意广告弹出的问题,让人很头疼,这个Adware remover可以查杀电脑中的Adware,效果很好。

    “第五届密码学与云计算安全(CCCS2017)国际研讨会”在山西运城举办.pdf

    “第五届密码学与云计算安全(CCCS2017)国际研讨会”在山西运城举办.pdf

    Nirsoft NirLauncher

    •NirLauncher and all the utilities in the package are completely freeware, without any Spyware/Adware/Malware. This package doesn't contain any 3-party software, toolbars, Web browser plugins, or ...

    Spyware Terminator 2.0

    Spyware Terminator is a full-feature adware and spyware scanner with real-time protection that can remove or quarantine spyware, adware, Trojans, keyloggers, home page hijackers and other malware ...

    计算机网络安全的重要性.doc

    本文从现代计算机常遇到的网络问题、计算机网络安全重要性、计算机网络安全的防 范措施等进行了详细阐述,以使广大用户在使用计算机网络时加强安全防范意识。 一.现代计算机常遇到的网络问题 1.解密攻击。在互联网上...

Magicbox
Global site tag (gtag.js) - Google Analytics