Win32.Troj.OnlineGames.61096 最新變種的不完全處理方案,該病毒通過sreng日誌掃描以後通常可以發現以下問題。
基本介紹
- 中文名:Win32.Troj.OnlineGames.61096
- winsock脅持:sqmapi32.dll
- 境項挾持:IEXPLORE32.sys/.win
- 驅動載入項目:mssock.sys
- 病毒注入項目:addrcqhelp.dll
- 發現途徑:通過sreng日誌掃描可以發現問題
基本信息,傳播過程,
基本信息
winsock脅持----sqmapi32.dll
境項挾持----IEXPLORE32.sys/.win
驅動載入項目----mssock.sys
病毒注入項目----addrcqhelp.dll
addrgjhelp.dll
addrmshelp.dll
allatl.dll
qdshm.dll
傳播過程
2007-10-10 發現新病毒注入項目
cqatl.dll
msatl.dll
qqsgatl.dll
通過sreng日誌掃描以後通常可以發現以下問題項目
註冊表啟動項目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C:\Program Files\Internet Explorer\IEXPLORE32.Sys> [N/A]
<{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Internet Explorer\IEXPLORE32.win> [N/A]
<{37C3125C-9CB6-4503-8F38-63D80ADEFA07}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins> [N/A]
<{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\WINDOWS\system32\rsmydpm.dll> []
<{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}><C:\WINDOWS\system32\kafyezy.dll> []
<{2960356A-458E-DE24-BD50-268F589A56A2}><C:\WINDOWS\system32\avwlbmn.dll> []
<{5D47B341-43DF-4563-753F-345FFA3157D5}><C:\WINDOWS\system32\kvmxema.dll> [N/A]
<{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINDOWS\system32\avzxdmn.dll> [N/A]
<{334345F1-DACF-3452-CB7D-4620F34A1533}><C:\WINDOWS\system32\rsztcpm.dll> [N/A]
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32\kvdxcma.dll> [N/A]
2007-10-10 發現新病毒挾持項目
<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32\avwgcmn.dll> []
<{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll> [N/A]
<{2D561258-45F3-A451-F908-A258458226D2}><C:\WINDOWS\system32\kvdxsbma.dll> [N/A]
驅動載入項目:
[mssock / mssock][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\mssock.sys><N/A>
[mseam / mseam]
<\??\C:\WINDOWS\system32\mseam.sys>
10-9 註:
最近出現比較多的是下面這個驅動 有時候兩個都會出現
[mseam / mseam]
<\??\C:\WINDOWS\system32\mseam.sys>
Winsock 脅持項目:
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
10-9 註:
一般來說最近出現的變種 winsock基本就反應為sqmapi32.dll 和qdshm.dll中的一種修複方法好是一樣的
注入其他進程的病毒檔案
c:\windows\system32\sqmapi32.dll
c:\windows\system32\addrcqhelp.dll
c:\windows\system32\addrgjhelp.dll
c:\windows\system32\addrmshelp.dll
c:\windows\system32\allatl.dll
c:\windows\system32\qdshm.dll
10-10 幾天發現的新的注入項目
C:\WINDOWS\system32\msatl.dll
C:\WINDOWS\system32\cqatl.dll
C:\WINDOWS\system32\qqsgatl.dll
10-9 註:
這個注入項目一般都沒有改變 觀察explorer的進程模組載入項目就可以找出來所有可疑項
(可以關注Sreng的正在運行的進程 explorer.exe進程的載入模組列表中檔案描述為[N/A, ]
路徑在C:\WINDOWS\system32\的模組
例如:
[PID: 1808 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180
(xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\sqmapi32.dll] [N/A, ]
[C:\WINDOWS\system32\qdshm.dll] [N/A, ]
[C:\WINDOWS\system32\allatl.dll] [N/A, ]
[C:\WINDOWS\system32\addrmshelp.dll] [N/A, ]
[C:\WINDOWS\system32\addrgjhelp.dll] [N/A, ]
[C:\WINDOWS\system32\addrcqhelp.dll] [N/A, ]
10-10 幾天發現的另外一個例子
[PID: 1588 / xc][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180
(xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\sqmapi32.dll] [N/A, ]
[C:\WINDOWS\system32\msatl.dll] [N/A, ]
[C:\WINDOWS\system32\cqatl.dll] [N/A, ]
[C:\WINDOWS\system32\qqsgatl.dll] [N/A, ]
關於木馬群一堆dll檔案 請關注 啟動項目管理的這裡
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2960356A-458E-DE24-BD50-268F589A56A2}><C:\WINDOWS\system32\avwlbmn.dll> []
<{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\WINDOWS\system32\rsmydpm.dll> []
<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32\avwgcmn.dll> []
<{334345F1-DACF-3452-CB7D-4620F34A1533}><C:\WINDOWS\system32\rsztcpm.dll> [N/A]
<{5D47B341-43DF-4563-753F-345FFA3157D5}><C:\WINDOWS\system32\kvmxema.dll> [N/A]
<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32\kvdxcma.dll> [N/A]
<{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINDOWS\system32\avzxdmn.dll> [N/A]
<{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll> [N/A]
<{2D561258-45F3-A451-F908-A258458226D2}><C:\WINDOWS\system32\kvdxsbma.dll> [N/A]
以上explorer.exe 進程和境項挾持裡面談到的 模組皆為病毒載入項目,可以添加到xdelbox的刪除列表中
然後加上可能存在的驅動載入項目 這個病毒就可以自己清理了,注意並不是所有沒有檔案描述的檔案都是病毒,
有檔案描述的也不一定是良民,如果你不能確認請不要一衝動就刪除了,可以到論壇發帖請其他朋友幫你分析下
[將方案保存文本放在桌面,沒有操作完之前,不要打開任何網站、網頁、QQ,不要進入任何分區。
預先下載好所有工具,看清楚步驟和要求。引自annygi ]
建議使用XDelBox刪除以下檔案:(XDelBox1.5下載) Xdelbox1.3操作
選擇立刻重啟刪除,電腦會重啟進入DOS界面進行刪除操作。運行xdelbox前最好卸載所有可移動存儲介質
(包括隨身碟,MP3,手機存儲卡等)。[選擇備份,勾選“抑制檔案再生”有提示不存在該檔案就忽略,繼續添加其它檔案]
複製內容到剪貼簿
代碼:
c:\windows\system32\sqmapi32.dll
c:\windows\system32\addrgjhelp.dll
c:\windows\system32\addrcqhelp.dll
c:\windows\system32\addrmshelp.dll
c:\windows\system32\allatl.dll
c:\windows\system32\qdshm.dll
c:\program files\internet explorer\iexplore32.win
c:\program files\internet explorer\iexplore32.sys
c:\windows\system32\kvdxcma.dll
c:\windows\system32\rsztcpm.dll
c:\windows\system32\avzxdmn.dll
c:\windows\system32\kvmxema.dll
c:\windows\system32\avwlbmn.dll
c:\windows\system32\kafyezy.dll
c:\windows\system32\rsmydpm.dll
c:\program files\common files\microsoft shared\msinfo\system6.ins
c:\windows\system32\mseam.sys
c:\windows\system32\mssock.sys
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\sidjazy.dll
C:\WINDOWS\system32\swjqazc.dll
C:\WINDOWS\system32\kvdxsbma.dll
重要 你可以將xdelbox目錄下的backup打包上傳到可疑檔案上傳區。以供病毒工程師分析
重啟以後刪除註冊表鍵值(打開 SREng ,依次點擊“啟動項目”->“註冊表”,列表中顯示註冊表中啟動信息內容。
點擊選擇需要刪除的項目,然後點擊“刪除”按鈕,彈出刪除確認對話框,點擊“是”刪除,點擊“否”取消。
引用:
[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}] <C:\Program Files\Internet Explorer\IEXPLORE32.win>
[{C5E87A05-F463-4841-B19E-DD3EC3862368}] <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:\WINDOWS\system32\kvdxcma.dll>
[{334345F1-DACF-3452-CB7D-4620F34A1533}] <C:\WINDOWS\system32\rsztcpm.dll>
[{4859245F-345D-BC13-AC4F-145D47DA34F4}] <C:\WINDOWS\system32\avzxdmn.dll>
[{5D47B341-43DF-4563-753F-345FFA3157D5}] <C:\WINDOWS\system32\kvmxema.dll>
[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:\WINDOWS\system32\avwlbmn.dll>
[{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}] <C:\WINDOWS\system32\kafyezy.dll>
[{4E32FA58-3453-FA2D-BC49-F340348ACCE4}] <C:\WINDOWS\system32\rsmydpm.dll>
[{37C3125C-9CB6-4503-8F38-63D80ADEFA07}] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>
<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32\avwgcmn.dll> []
<{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll> [N/A]
<{2D561258-45F3-A451-F908-A258458226D2}><C:\WINDOWS\system32\kvdxsbma.dll> [N/A]
刪除以下服務或者驅動:(可以使用sreng完成,啟動項管理--服務選項"驅動程式或服務選中後
然後勾選"隱藏已認證的微軟項目" 然後將下面名稱的服務刪除(選中有問題的服務後,點"刪除服務",
點“設定”按鈕即可。注意彈出的視窗中要點 "否NO"才是確認刪除服務)
(不能刪除的就禁用:啟動類型改為disabled,點中修改啟動類型,點設定)"
引用:
[mssock / mssock] <\??\C:\WINDOWS\system32\mssock.sys>
[mseam / mseam] <\??\C:\WINDOWS\system32\mseam.sys>
重要,不修復可能不能上網,推薦用金山清理專家2.0的自動修復修復下winsock 點擊查看清理專家圖解
引用:
Winsock 脅持項目:
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\sqmapi32.dll(, N/A)
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
使用以下的軟體清理工具清理下系統裡面可能存在的病毒或者惡意軟體殘餘
金山清理專家2.0
windows清理小助手,
由於勾選了“抑制檔案再生”被刪除檔案同一個地方會有相同的檔案名稱字資料夾,(並且開機會自動打開這些資料夾,請忽略。)
請一一進去將與原來病毒同名資料夾刪除即可。
