`
caobihole
  • 浏览: 980537 次
文章分类
社区版块
存档分类
最新评论

遭遇Viking新变种、传奇、魔兽盗号木马等(第3版)

 
阅读更多

endurer 原创

2006-10-13 第3版 补充 Kaspersky 对偶未上报的文件的反应

2006-10-09 第2版 补充 Kaspersky 的反应

2006-10-09 第1

一位网友,新买的机子,没用两天就喊慢,让我帮忙检查。

开机进入桌面后,系统失去响应,好不容易打开任务管理器一看,CPU占用率并不高,但内存占用奇高,想正常关机都不行。

强行重启到带网络的安全模式,到 http://endurer.ys168.com 下载 HijackThis 扫描 log,发现如下可疑项:

Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:/WINDOWS/Logo1_.exe

C:/Program Files/Internet Explorer/3Sy.exe

F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe

O1 - Hosts: 219.139.58.97 www.hao123.com
O1 - Hosts: 219.139.58.97 hao123.com
O1 - Hosts: 219.139.58.97 www.7b.com.cn
O1 - Hosts: 219.139.58.97 7b.com.cn
O1 - Hosts: 219.139.58.97 www.7939.com
O1 - Hosts: 219.139.58.97 www.maohehe.com
O1 - Hosts: 219.139.58.97 www.sina-baidu.com
O1 - Hosts: 219.139.58.97 sina-baidu.com
O1 - Hosts: 219.139.58.97 www.maipao.com
O1 - Hosts: 219.139.58.97 update.virussky.com
O1 - Hosts: 219.139.58.97 down.virussky.com
O1 - Hosts: 219.139.58.97 www.ycdy.com
O1 - Hosts: 219.139.58.97 ycdy.com
O1 - Hosts: 219.139.58.97 www.2tu.cn
O1 - Hosts: 219.139.58.97 2tu.cn
O1 - Hosts: 219.139.58.97 www.91tu.cn
O1 - Hosts: 219.139.58.97 91tu.cn
O1 - Hosts: 219.139.58.97 www.haotop.com
O1 - Hosts: 219.139.58.97 news01.virussky.com
O1 - Hosts: 219.139.58.97 news02.virussky.com
O1 - Hosts: 219.139.58.97 news03.virussky.com
O1 - Hosts: 219.139.58.97 news04.virussky.com
O1 - Hosts: 219.139.58.97 www.an85.com
O1 - Hosts: 219.139.58.97 an85.com
O1 - Hosts: 219.139.58.97 www.360safe.com
O1 - Hosts: 219.139.58.97 360safe.com
O1 - Hosts: 219.139.58.97 dl.360safe.com
O1 - Hosts: 219.139.58.97 bbs.360safe.com
O1 - Hosts: 219.139.58.97 www.gao58.com
O1 - Hosts: 219.139.58.97 count18.51yes.com
O1 - Hosts: 219.139.58.97 www.ok538.com
O1 - Hosts: 219.139.58.97 www.3000sss.com
O1 - Hosts: 219.139.58.97 3000sss.com
O1 - Hosts: 219.139.58.97 www.qq658.com
O1 - Hosts: 219.139.58.97 www.53679.com
O1 - Hosts: 219.139.58.97 www.17587.net
O1 - Hosts: 219.139.58.97 www.17587.com
O1 - Hosts: 219.139.58.97 www.an188.com
O1 - Hosts: 219.139.58.97 cwzwxm.3322.org
O1 - Hosts: 219.139.58.97 www.onediy.net
O1 - Hosts: 219.139.58.97 sohu.fswan.com
O1 - Hosts: 219.139.58.97 www.hewdq.com
O1 - Hosts: 219.139.58.97 go.ipcenter.cn
O1 - Hosts: 219.139.58.97 www.32666.com
O1 - Hosts: 219.139.58.97 show.googleadsenseagent.com
O1 - Hosts: 219.139.58.97 www.2yin.cn
O1 - Hosts: 219.139.58.97 2yin.cn
O1 - Hosts: 219.139.58.97 www.84442.com
O1 - Hosts: 219.139.58.97 www.898333.com
O1 - Hosts: 219.139.58.97 hewdq.com
O1 - Hosts: 219.139.58.97 84442.com
O1 - Hosts: 219.139.58.97 wwww.systeel.com.cn
O1 - Hosts: 219.139.58.97 go.baibaoxiang.cn
O1 - Hosts: 219.139.58.97 www.btbaicai.com
O1 - Hosts: 219.139.58.97 btbaicai.com
O1 - Hosts: 219.139.58.97 www.2t2t.cn
O1 - Hosts: 219.139.58.97 2t2t.cn
O1 - Hosts: 219.139.58.97 3.a.kal.cn
O1 - Hosts: 219.139.58.97 www.222978.com
O1 - Hosts: 219.139.58.97 www.5yaowan.com
O1 - Hosts: 219.139.58.97 show.roogoo.com
O1 - Hosts: 219.139.58.97 ip.alexaanywhere.com

O3 - Toolbar: SearchCar - {BD328E49-38AB-42CB-8EEA-73AA4CD2A6FD} - C:/Program Files/SearchCar/SearchCar.dll

O4 - HKLM/../Run: [qcsszjcz] d:/chenqxms.exe

O4 - HKLM/../Run: [R] C:/WINDOWS/system32/rundll32.exe msprt.dll s

O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll
O10 - Unknown file in Winsock LSP: c:/windows/system32/wsd_sock32.dll

http://endurer.ys168.com 下载 ProcView 终止进程:
/----------
C:/WINDOWS/Logo1_.exe
C:/Program Files/Internet Explorer/3Sy.exe
----------/

到瑞星网站下载注册表修复工具检修文件关联。

用WinRAR检查下列文件夹中的文件

c:/
------------
drsmartload.exe(Kaspersky 报为 Trojan-Downloader.Win32.Adload.gf,DrWeb 报为 Trojan.DownLoader.13572
MTE3NDI6ODoxNgV2.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.azc

c:/windows 和 c:/windows/system32
-------------
winampa.exe(Kaspersky 报为 Trojan.Win32.Agent.tl,DrWeb 报为 Trojan.DownLoader.12870
nmhxy.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.iu,DrWeb 报为 Trojan.PWS.Legmir.602
nmhxy.exe(Kaspersky 报为 Trojan-PSW.Win32.Agent.iu,DrWeb 报为 Trojan.PWS.Legmir.602
0.exe(Kaspersky 报为 Trojan.Win32.Qhost.ic,DrWeb 报为 Trojan.Qhost
mvlib.dll(Kaspersky 报为 Trojan.Win32.BCB.i,DrWeb 报为 Win32.HLLW.MyBot
jxdll.dll(Kaspersky 报为 Trojan-PSW.Win32.Delf.hh
myrx.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.ia
mywow.dll(Kaspersky 报为 Trojan-PSW.Win32.WOW.jw
myztr.dll(Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.v
ss3.exe
WSD_SOCK32.dll(Kaspersky 报为 Trojan-PSW.Win32.Agent.if
xia.exe(Kaspersky 报为 Worm.Win32.Viking.ax
rundl132.exe(注意:32前面的是数字1。Kaspersky 报为 Worm.Win32.Viking.ax
rundll.exe
msprt.dll(Kaspersky 报为 Trojan.Win32.BCB.i
Logo1_.exe(Kaspersky 报为 Email-Worm.Win32.Viking.ax

c:/progam files/internet explorer
-------------
0Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Lineage.amd,DrWeb 报为 Trojan.PWS.Gamania
4Sy.exe(Kaspersky 报为 Trojan-PSW.Win32.Delf.hh,DrWeb 报为 Trojan.PWS.Lineage
internat3.exe(Kaspersky 报为 Trojan-PSW.Win32.WOW.gq
internat5.exe(Kaspersky 报为 Trojan-Downloader.Win32.Agent.axg,DrWeb报为 Trojan.DownLoader.13331
iedw.exe(Kaspersky 报为 Trojan.Win32.Agent.zl,DrWeb 报为 Trojan.Starter.84

系统临时文件夹
-------------
temp.exe(Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.ft
setup_wm.exe(Kaspersky 报为 Trojan.Win32.Agent.zl,DrWeb 报为 Trojan.DownLoader.12618)

IE临时文件夹
-------------
maaa2.exe(Kaspersky 报为 Worm.Win32.Detnat.e

c:/windows/system32/drivers
-------------
modrl.sys(Kaspersky 回复“no malicious code was found in this file”,DrWeb 报为 Trojan.PWS.Hert,瑞星 报为 Rootkit.CallGat.gen

清空IE临时文件夹和系统临时文件夹

打开注册表编辑器,先备份注册表,然后搜索包含rundl132.exe(注意:32前面的是数字1)的项目并删除。

http://endurer.ys168.com 下载 并运行 LSPFix,选中选项“I Know What I'm Doing”,然后把左面窗口里的 wsd_sock32.dll 文件移到右面窗口里(不要动其他文件),然后选“Finish”。

关闭所有IE窗口和文件夹窗口,运行Hijackthis扫描并修复上列项目。

分享到:
评论

相关推荐

    Viking Ulf.rar

    《Unity 2019在Viking Ulf项目中的应用详解》 Unity,作为全球领先的实时3D内容创作和运营平台,一直以来都是游戏开发者、视觉艺术家以及各行各业创新者的重要工具。2019年发布的Unity版本,带来了诸多性能优化、新...

    瑞星viking专杀

    瑞星viking专杀,瑞星viking专杀,比较实用

    Viking Stencil

    Viking Stencil

    Viking

    "Viking" 字体可能是TrueType字体(.TTF)格式,这是一种常见的、跨平台的字体格式,可以在Windows、Mac OS等操作系统上使用。 【压缩包子文件的文件名称列表】中: - "vikingnormal1.gif" 这个文件可能是"Viking...

    编写viking病毒清除工具

    1. 计算机病毒基础:Viking病毒可能是一种特定类型的恶意软件,如蠕虫或特洛伊木马,了解它的传播机制和危害是清除它的关键。 2. VC++编程:掌握C++语言和Visual Studio的使用,包括理解类、对象、指针、内存管理...

    viking配置软件

    Viking配置软件主要针对的是基于VikingII芯片的设备,如MT800,它是一款专为管理和配置这些设备而设计的应用程序。VikingII芯片是通信领域中常见的一种集成电路,尤其在ADSL(Asymmetric Digital Subscriber Line)...

    mxcc.rar_Viking

    标题 "mxcc.rar_Viking" 暗示我们正在处理一个与Viking相关的项目,而这个项目中包含了一个名为 "mxcc" 的组件。描述提到 "mxcc.h" 文件包含了Viking MXCC(可能是Microcontroller eXtended Configuration ...

    viking_saga

    viking_saga

    【Viking系列芯片】固件FW升级/备份工具(VER2.14)最终版

    【Viking系列芯片】固件FW升级/备份工具(VER2.14)最终版是专为使用Viking或VikingII芯片组的华硕6000EV A/G1 A/J A/E以及实达2100EH 4.5 4.6 4.7 4.8等设备设计的软件工具。这个工具的主要功能在于帮助用户对设备的...

    威金蠕虫专杀,VIKING

    【标题】"威金蠕虫专杀,VIKING"所指的是一种专门针对名为“威金”(Worm.Viking)的计算机蠕虫病毒的清除工具。威金蠕虫是一种广泛传播的恶意软件,它利用系统漏洞进行自我复制,并通过网络、电子邮件附件等方式...

    MT800固件、VIKING芯片固件升级02.rar

    MT800固件与VIKING芯片固件升级是一个重要的系统优化过程,它涉及到路由器或网络设备的软件更新,以提升性能、增强安全性或修复已知问题。在这个"MT800固件、VIKING芯片固件升级02.rar"的压缩包中,包含了两个关键...

    MT800 880固件 VIKING芯片固件升级 备份工具

    MT800 880固件升级及VIKING芯片固件升级是针对特定型号ADSL调制解调器(Modem)的操作,旨在优化设备性能、修复已知问题或增加新功能。这些升级过程涉及到对设备固件的刷新和备份,确保在更新过程中设备的稳定性和...

    viking:Viking是一个免费的开源程序,用于管理GPS数据(包括GPX,TCX和KML文件)。 您可以导入和绘制轨迹,路线和路标,显示OpenStreetMaps(OSM),Bing航空和其他地图,生成Mapnik地图,地理标记图像,创建新的轨迹,路线和路标,查看实时GPS位置等。大多数是使用GTK + 3工具包和一些C ++编写的C语言

    您可以导入,绘制和创建轨迹,路线和路标,显示OSM和其他地图,生成地图(使用Mapnik),查看实时GPS位置,地理标记图像,控制项,上载/下载OSM轨迹等。 它主要是用C和某些C ++编写的,并使用GTK + 3工具箱。 网站...

    viking:Viking.js

    安装 点击这里下载最新版本: Viking的依赖项如下所示: (> = 1.9.1) (> = 1.0.0) (> = 1.4.4) (> = 1.0.0)建筑从基本目录运行rake build 。 它将在根目录中输出viking.js 。浏览器兼容性在Chrome 36 +,...

    安全相关-病毒防治-瑞星威金Worm.Viking病毒专杀工具 v1.6.zip

    5. **更新升级**:定期更新病毒库,以应对威金病毒的变种和其他新出现的威胁。 使用该专杀工具的步骤通常包括: 1. 下载并解压压缩包,运行专杀工具。 2. 更新病毒库,确保能识别最新版本的威金病毒。 3. 全盘扫描...

    Viking ADSL Modem配置管理程序 V2.55

    V2.4版加入一个新组件VMon监控程序(VMon.exe),本程序驻留提示栏,用来监控Viking系列芯片ADSL Modem打开路由状态时的负载流量信息。该程序可单独运行,可无需从配置管理程序启动。 本软件有四大主要功能: 1、...

    iOS游戏应用源代码——iliu-ios-cocos2d-viking-cba07f8.zip

    4. **Physics Engine**: 如果Viking游戏包含物理模拟,Cocos2D的内置Box2D物理引擎将用于处理物体的运动、碰撞和重力等。 5. **Audio**: 游戏的音频效果,Cocos2D提供了音频播放接口,可以播放背景音乐和音效。 6. *...

    iOS游戏应用源代码——twcrone-space-viking-ios-260046d.zip

    其中,Info.plist文件记录了应用的基本信息,如应用名称、版本号等。 2. **游戏逻辑**:这是游戏的核心部分,包含了游戏规则、角色行为、玩家交互等。这部分代码可能分布在多个.swift或.m/.h文件中,每个文件对应一...

Global site tag (gtag.js) - Google Analytics