遭遇Trojan.PSW.Lmir等病毒（第4版）

mixer_a

浏览: 346039 次

最近访客更多访客>>

photondragon

u012363178

zw2530

parrywang

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

2012-07 ( 2)
2012-06 ( 19)
2012-05 ( 106)
更多存档...

endurer　原创

2006-03-16　第4版补充Kaspersky对a.exe的反应。
2006-03-14　第3版补充江民回复：setup.exe不是病毒。
2006-03-11　第2版补充了具体处理过程
2006-03-10　第1版

　　昨天，一位朋友打电话来说，他的电脑出了问题，总提示出错，无法使用。

　　我教他进入安全模式检查看看。过了一会，他打电话来说已经在安全模式下用什么助手的系统修复功能，还是不行，让我帮忙看看。

　　朋友的电脑比较老，使用的是Win 98。进入桌面后不断提示Explorer.exe出错，想正常关机都不行。

　　按Reset按钮，强制重新启动，按F8键，选择Safe Mode，进入安全模式，不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在，扫描log，发现如下可疑或需要修复的项目：

Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)

Running processes:
C:/WINDOWS/WINLOGON.EXE

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL

O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:/PROGRAM FILES/PCDOWNLOADER/BHOPLUGIN.DLL

O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:/WINDOWS/DOWNLOADED PROGRAM FILES/CNSHOOK.DLL

O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:/PROGRAM FILES/YAHOO!/ASSISTANT/ASSIST/YASBAR.DLL

O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)

O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE

O4 - Global Startup: IE-BAR.lnk = C:/WINDOWS/rundll32.exe

O8 - Extra context menu item: !搜一搜(&S) - res://C:/PROGRAM FILES/YISOU/YISOU.DLL/232

O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)

O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)

O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)

O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)

O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)

O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)

O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)

O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索

O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab

O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:/WINDOWS/SYSTEM/DLMain.dll

原来朋友是用雅虎助手来修复的，真是“与虎谋皮”。

到控制面板的“添加删除程序”里想把雅虎助手卸载，不想这东东居然要在线卸载，而Win 98的安全模式是不连网的。先把IE-BAR等几个可疑的项目卸掉了。

在log中，进程C:/WINDOWS/WINLOGON.EXE出现的有点怪，因为安全模式下

O4 - HKLM/../Run: [Torjan Program] C:/WINDOWS/WINLOGON.EXE

这项不会被系统执行。

找到

C:/WINDOWS/WINLOGON.EXE
C:/WINDOWS/ExERoute.exe
C:/WINDOWS/SYSTEM/rundll32.com
C:/WINDOWS/SYSTEM/regedit.com
C:/WINDOWS/SYSTEM/Msconfig.com
C:/WINDOWS/SYSTEM/finder.com
C:/WINDOWS/SYSTEM/dxdiag.com
C:/WINDOWS/TEMP/a.exe
C:/WINDOWS/TEMP/b.exe
C:/WINDOWS/finder.com
C:/WINDOWS/Internet.exe
C:/WINDOWS/system.exe
C:/WINDOWS/Winlogon.exe

等可疑文件，为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator，打包备份后删除。

接着问题就来了，运行程序时提示找不到C:/WINDOWS/ExERoute.exe。
原来C:/WINDOWS/ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe！

这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老，无USB接口，用软盘拷来瑞星注册表修复工具，不料软驱读软盘出错！

只好手工到注册表里修改，把regedit.exe改成regedit.com，进入注册表编辑器，修复了EXE文件关联。

用HijackThis修复了前面所列的项目。

重新启动电脑，这次进入Windows不再提示explorer.exe出错了，

运行瑞星杀毒助手，使用瑞星在线免费扫描，发现35个染毒文件：

文件名病毒名
C:/WINDOWS/SYSTEM/rundll32.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/MSCONFIG.COM Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/finder.com Trojan.PSW.Lmir.jag（Kaserpersky报为Trojan-PSW.Win32.Lmir.aov）
C:/WINDOWS/SYSTEM/dxdiag.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/regedit.com Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/command.pif Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/rundll32.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/ca.exe>>b.EXE Trojan.PSW.Lmir.jbg（Kaspersky实时监控不报，手动扫描报为Trojan-PSW.Win32.Lmir.aoe）
C:/WINDOWS/SYSTEM/qq.exe.bak Trojan.PSW.LMir.jdc（Kaspersky报为Trojan-PSW.Win32.Lmir.aqo）
C:/WINDOWS/SYSTEM/DLMon.dll Trojan.DL.Agent
C:/WINDOWS/SYSTEM/DLMain.dll.del Trojan.DL.Agent（Kaspersky报为Trojan-Downloader.Win32.Agent.ue）
C:/WINDOWS/SYSTEM/regedit.com.bak Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/Msconfig.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/finder.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/SYSTEM/dxdiag.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/TEMP/a.exe.bak Dropper.PSW.Lmir.agd（Kaspersky报为Trojan-PSW.Win32.Lmir.ash）
C:/WINDOWS/TEMP/b.exe.bak Trojan.PSW.Lmir.jje
C:/WINDOWS/Temporary Internet Files/Content.IE5/OHM7O5Y7/a[1].exe Dropper.PSW.Lmir.agd
C:/WINDOWS/Temporary Internet Files/Content.IE5/KBLFIAZT/qq[2].hta Script.Taorao.a （Kasersky报为Trojan-Dropper.VBS.Taorao）
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/9[1].exe Trojan.PSW.LMir.jdc
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/10[1].exe>>b.EXE Trojan.PSW.Lmir.jbg
C:/WINDOWS/Temporary Internet Files/Content.IE5/CE4B7TKT/11[1].exe Trojan.PSW.LMir.jdc
C:/WINDOWS/Temporary Internet Files/Content.IE5/SNXFUIN1/b[1].exe Trojan.PSW.Lmir.jje
C:/WINDOWS/72896.DLL Trojan.PSW.LMir.jdc
C:/WINDOWS/explorer.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/finder.com Trojan.PSW.Lmir.jag
C:/WINDOWS/explorer.com Trojan.PSW.Lmir.jag
C:/WINDOWS/1.com.bak Trojan.PSW.Lmir.jag
C:/WINDOWS/finder.com.del Trojan.PSW.Lmir.jag
C:/WINDOWS/Internet.exe.del Trojan.PSW.LMir.jdc
C:/WINDOWS/system.exe.del>>Unpack Trojan.Clicker.VB.cd（Kaspersky报为Trojan.Win32.VB.aat）
C:/WINDOWS/1.com Trojan.PSW.Lmir.jag
C:/WINDOWS/Winlogon.exe.del Trojan.PSW.Lmir.jag
C:/WINDOWS/ExERoute.exe.bak Trojan.PSW.Lmir.jag
C:/Program Files/Common Files/iexplore.pif Trojan.PSW.Lmir.jag
C:/Program Files/Internet Explorer/iexplore.com Trojan.PSW.Lmir.jag

都用瑞星杀毒助手解决了。

　　发现原来被改名的病毒文件又出来了，看看关联了.EXE文件的ExERoute.exe每次运行时都会检查病毒文件，不存在则重新创建。

　　由于.com文件的运行优先级比.exe高，即当我们输入命令: msconfig时，系统运行的是病毒程序msconfig.com，则不是系统配置程序msconfig.exe！

　　看来以后运行系统内置命令还得指明扩展名。

　　另外，还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数。

另外还发现一个可疑文件：setup.exe： AntiVir报为Dropper/DMSec.A dropper

分享到：

又一个带毒的政府网站（第3版） | 编程使用系统热键{定时器SetTimer()和GetA ...

2006-03-11 12:38
浏览 653
评论(0)
查看更多

发表评论

您还没有登录,请您登录后再发表评论

最近访客更多访客>>

博主相关

文章分类

社区版块

存档分类

最新评论