[08-01] 解决Hupigon.bwt、ZhengTu.bn、QQPass.hd、Flowdy.b等病毒(第2版)

endurer　原创
2006-08-01　第2版　补充杀毒软件的反应
2006-07-31　第1版

今早，一位网友的电脑，使用的是Windows XP SP2，进入Windows后，就弹出一个命令提示符窗口，提示尝试停止Windows防火墙。请我帮忙检查。

先到瑞星网站下载“瑞星注册表修复工具”并运行，发现EXE文件关联被改为SVCH0ST.EXE。修复！

到 http://endurer.ys168.com下载 HijackThis 扫描log，发现如下可疑进程和项目：

-------------
C:/WINDOWS/help/ZTpass.exe
C:/WINDOWS/SYSTEM32/SVCH0ST.EXE（注意：文件名中H和S之间的是数字0）
C:/WINDOWS/system32/scanregw.exe
C:/WINDOWS/system32/scanregw.exe
C:/WINDOWS/system32/SVOHOST.exe

O4 - HKLM/../Run: [SoundMam] C:/WINDOWS/system32/SVOHOST.exe

O4 - HKLM/../Run: [ScanRegistry] scanregw.exe

O4 - HKLM/../RunServices: [SVCHOST] C:/WINDOWS/SYSTEM32/SVCH0ST.EXE

O4 - HKCU/../Run: [meimeimei.exe] C:/WINDOWS/system32/meimeimei.exe

O23 - Service: Microsoft Winshell - Unknown owner - C:/WINDOWS/Microsoft Winshell.exe

O23 - Service: ZT Massacre (ZTmassacre) - Unknown owner - C:/WINDOWS/help/ZTpass.exe
-------------

停止并禁用系统服务：
Microsoft Winshell
ZT Massacre (ZTmassacre)

到 http://endurer.ys168.com下载 ProcView 终止了可疑进程。

用WinRAR找到如下可疑文件，打包备份后，加上.del扩展名：
-------------
C:/WINDOWS/Microsoft Winshell.exe（Kaspersky 报为 Backdoor.Win32.Hupigon.bwt）

************************************************
病毒上报邮件分析结果－流水单号:3126011

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：Microsoft Winshell.exe
病毒名：Backdoor.Gpigeon.fev

我们将在较新的18.38.11版本中处理解决，请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。
************************************************
C:/WINDOWS/help/ZTpass.exe（Kaspersky 报为 Trojan-PSW.Win32.Lmir.ayt）
C:/WINDOWS/Help/ZThook.dll（Kaspersky 报为 Trojan-PSW.Win32.Lmir.awj，瑞星报为Trojan.PSW.ZhengTu.bn）
C:/WINDOWS/system32/meimeimei.exe（Kaspersky 报为 Trojan-Dropper.Win32.Small.qn ，瑞星报为Worm.Flowdy.b）
C:/WINDOWS/system32/meimeimei.dll（Kaspersky 报为 Trojan-Dwonloader.Win32.Delf.asf，瑞星报为Worm.Flowdy.a）
C:/WINDOWS/system32/winscok.dll（Kaspersky 报为 Trojan-PSW.Win32.QQPass.jg，瑞星报为）
C:/WINDOWS/system32/ntdll32.dll（Kaspersky 报为 Trojan-PSW.Win32.QQPass.hd，瑞星报为Trojan.PSW.MMThief.g）
C:/WINDOWS/system32/RXpass.exe（Kaspersky 报为 Trojan-PSW.Win32.Gamec.ag）
************************************************
病毒上报邮件分析结果－流水单号:3127632

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：RXpass.exe
病毒名：Trojan.PSW.WoWar.gn

我们将在较新的18.38.20版本中处理解决，请您届时将您的瑞星软件升级到18.38.20版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。

************************************************

C:/WINDOWS/SYSTEM32/SVCH0ST.EXE（注意：文件名中H和S之间的是数字0，Kaspersky 报为 Trojan-Spy.Win32.Agent.ct）
************************************************
病毒上报邮件分析结果－流水单号:3127476

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：SVCH0ST.EXE
病毒名：Trojan.PSW.MMThief.v

我们将在较新的18.38.11版本中处理解决，请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。
************************************************

C:/WINDOWS/system32/scanregw.exe（Kaspersky 报为 Trojan-Downloader.Win32.Pakes，瑞星报为Worm.Flowdy.a）
C:/WINDOWS/system32/SVOHOST.exe（Kaspersky 报为 Trojan-PSW.Win32.QQPass.jg）

************************************************
病毒上报邮件分析结果－流水单号:3126223

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：SVOHOST.exe
病毒名：Trojan.PSW.QQPass.poz

我们将在较新的18.38.11版本中处理解决，请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。************************************************

C:/windows/temp/gezi.exe（Kaspersky 报为 Backdoor.Win32.Hupigon.bwt）

************************************************
病毒上报邮件分析结果－流水单号:3126053

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：gezi.exe
病毒名：Backdoor.Gpigeon.fev

我们将在较新的18.38.11版本中处理解决，请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。
************************************************
C:/windows/temp/hw.exe
C:/windows/temp/jianghu.exe
C:/windows/temp/menghuan.exe
C:/windows/temp/zhengtu.exe（Kaspersky 报为 Trojan-PSW.Win32.Lmir.ayt）************************************************
病毒上报邮件分析结果－流水单号:3127866

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：zhengtu.exe
病毒名：Trojan.PSW.ZhengTu.cq

我们将在较新的18.38.11版本中处理解决，请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。
************************************************

C:/program files/Internet Explorer/ie2.exe（Kaspersky 报为 Trojan.Win32.Pakes）
C:/Program Files/Internet Explorer/PLUGINS/system.sys（Kaspersky 报为Trojan-PSW.Win32.QQRob.gd）

************************************************
病毒上报邮件分析结果－流水单号:3126269

尊敬的客户，您好！
您的邮件已经收到，感谢您对瑞星的支持。

我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
1.文件名：system.sys
病毒名：Trojan.PSW.QQPass.fq

我们将在较新的18.38.11版本中处理解决，请您届时将您的瑞星软件升级到18.38.11版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话，我们会推迟一到两版本后升级。
************************************************
-------------

到 http://endurer.ys168.com下载 瑞星杀毒助手，使用瑞星在线免费扫描，结果如下：
-------------
2006-7-31 10:54:47　瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/scanregw.exe.del Trojan.PSW.PowerSpider.bm（Kaspersky 报为 Trojan-Downloader.Win32.Pakes）
C:/WINDOWS/system32/aclayer.exe Trojan.DL.Agent.vp
C:/WINDOWS/system32/aclayer.dll Trojan.DL.Agent.vp
C:/WINDOWS/system32/yangyang.dll Trojan.PSW.PowerSpider.bm
C:/WINDOWS/system32/meimeimei.exe.del Worm.Flowdy.b（Kaspersky 报为 Trojan-Dropper.Win32.Small.qn ）
C:/WINDOWS/system32/meimeimei.dll.del Worm.Flowdy.a（Kaspersky 报为 Trojan-Dwonloader.Win32.Delf.asf）
C:/WINDOWS/system32/ntdll32.dll.del Trojan.PSW.MMThief.g（Kaspersky 报为 Trojan-PSW.Win32.QQPass.hd）
C:/WINDOWS/Help/ZThook.dll.del Trojan.PSW.ZhengTu.bn（Kaspersky 报为 Trojan-PSW.Win32.Lmir.awj）
-------------

都用瑞星杀毒助手解决了。

再用Kaspersky在线免费扫描，结果如下：
-------------
C:/windows/temp/gezi.exe.delInfected: Backdoor.Win32.Hupigon.bwtskipped
C:/WINDOWS/system32/winscok.dll.delInfected: Trojan-PSW.Win32.QQPass.jgskipped
C:/WINDOWS/system32/SVOHOST.exe.delInfected: Trojan-PSW.Win32.QQPass.jgskipped
C:/WINDOWS/Microsoft Winshell.exe.delInfected: Backdoor.Win32.Hupigon.bwtskipped
C:/Program Files/Internet Explorer/PLUGINS/system.sys.delInfected: Trojan-PSW.Win32.QQRob.gdskipped
C:/Recycled/Dc2755.exeInfected: Backdoor.Win32.Hupigon.bwtskipped
-------------

除 C:/WINDOWS/system32/winscok.dll 不能直接删除，用了“下次启动时删除文件”（可以到 http://endurer.ys168.com 下载）程序来解决外，其它染毒文件都打包备份后删除了。

清空IE临时文件夹。