遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等/v2

墨安阳

2023-12-01

遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等

endurer 原创
2007-07-18 第2版补充 Kaspersky 的回复
2007-07-17 第1版

有网友的电脑中的卡巴斯基最近经常报告发现病毒，如：
/---
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system63qso.dll 70.2 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.dz C:/WINDOWS/system32/system82qso.dll 70.2 KB
感染: 病毒 Virus.Win32.AutoRun.er c:/windows/system32/install.exe 24.5 KB
感染: 木马程序 Trojan-PSW.Win32.OnLineGames.abt c:/windows/system32/rav008c.dat 6.4 KB
---/

让偶通过QQ远程协助。

下载 pe_xscan 扫描 log，不料程序出错，取消列举文件版本信息的选项后，完成扫描。

经分析，发现可疑项（进程模块部分有省略）：
/---
pe_xscan 07-06-23 by Purple Endurer
2007-7-17 12:50:49
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

C:/WINDOWS/Explorer.EXE * 1496 | 2004-8-23 16:0:0
    C:/WINDOWS/system32/aetpksw.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/Agent.dll | 2004-8-23 16:0:0

d:/Program Files/Tencent/QQ/TIMPlatform.exe * 1420 | 2006-12-8 20:11:30
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

D:/Program Files/Tencent/QQ/QQ.exe * 2072 | 2006-12-20 12:57:0
    C:/WINDOWS/system32/zeqax.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wiytd.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wljhj.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/hytsx.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wlkhm.dll | 2004-8-23 16:0:0
    C:/WINDOWS/system32/wkjhl.dll | 2004-8-23 16:0:0

O23 - 服务: ATICDSDr (ATICDSDr) - C:/DOCUME~1/user/LOCALS~1/Temp/{1735A~1/atiicdxx.sys(手动)
O23 - 服务: gwiopm (gwiopm) - F:/新建文件夹/gwiopm.sys | 1998-6-3 13:59:40(手动)
O23 - 服务: New0 (New0) - C:/WINDOWS/system32/new.sys | 2007-5-6 13:10:58(自动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: RemoteDbg (Remote Debug Service) - C:/WINDOWS/system32/rundll32.exe RemoteDbg.dll,input(自动)

O24 - ShlExecHook: [OFFICE] - {13BB17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system63qso.dll
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
O24 - ShlExecHook: [OFFICE] - {13BA17C5-1BAB-1F85-237A-273D2B2F2F26} = C:/WINDOWS/system32/system82qso.dll
---/

先下载安装瑞星卡卡安全助手，在高级功能—＞插件管理及卸载里把 3 个 O24 项卸载掉。

到 http://purpleendurer.ys168.com 下载 FreeDLL，bat_do，FileInfo。

用FreeDLL卸载注入系统进程的 Agent.dll 等 DLL，用 FileInfo 提取文件信息，用 bat_do 打包备份。

打开注册表编辑器，准备删除O23的项目时，网友的电脑死机了~

等网友重启电脑后继续。在注册表里把O23的项目都删除了。再用 bat_do 删除 Agent.dll 等文件，结果拒绝访问~

再用 pe_xscan 扫描 log 分析，发现
/---
O24 - ShlExecHook: [Microsoft Data Tools Query Designe] - {D8E0E3BA-D55F-4A08-8EE4-0A59E0284124} = C:/WINDOWS/system32/Agent.dll
---/
又重生了，而且 aetpksw.dll 等 DLL 又注入了系统进程，用 FreeDLL 卸不完~

这个O24用卡卡安全助手卸载掉后会重生。

把这些文件加入 bat_do，使用延时删除，并生成去除属性、删除和改名命令，下次启动时执行。

用 WinRAR 删除 Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

让网友关闭系统还原功能，重启电脑，如果还不能清除，就用IceSword把这些DLL从系统进程中卸载，然后删除，再用卡卡安全助手卸载O24。

部分文件信息：

文件说明符 : C:/WINDOWS/system32/aetpksw.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-23 16:0:0
修改时间 : 2004-8-23 16:0:0
访问时间 : 2007-7-17 0:0:0
大小 : 19538 字节 19.82 KB
MD5 : 16b524ab36cb7ef7c0a849581dce56d7

瑞星报为 Trojan.PSW.Win32.Agent.qg

主　题：	RE: aetpksw.dll [KLAB-2451058]
发件人：	"" <newvirus@kaspersky.com>	发送时间：2007-07-18 00:36:32

Hello,
aetpksw.dll - Trojan-PSW.Win32.OnLineGames.wy
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Denis Maslennikov
Virus analyst, Kaspersky Lab.

e-mail: newvirus@kaspersky.com
http://www.kaspersky.com/

文件

C:/WINDOWS/system32/wkjhl.dll
C:/WINDOWS/system32/wlkhm.dll
C:/WINDOWS/system32/hytsx.dll
C:/WINDOWS/system32/wiytd.dll
C:/WINDOWS/system32/zeqax.dll
C:/WINDOWS/system32/Agent.dll

均与 C:/WINDOWS/system32/aetpksw.dll 相同。

文件说明符 : D:/test/New.sys
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-7-17 21:2:27
修改时间 : 2007-5-6 13:10:58
访问时间 : 2007-7-17 0:0:0
大小 : 1880 字节 1.856 KB
MD5 : 79b0dd5f393c132f7a84b7dbf85a9f40

File: new.sys

Status: INFECTED/MALWARE

MD5: 79b0dd5f393c132f7a84b7dbf85a9f40

Packers detected:-

Bit9 reports: File not found

Scan taken on 17 Jul 2007 13:02:40 (GMT)
A-Squared	Found nothing
AntiVir	Found CC/1000.BD
ArcaVir	Found nothing
Avast	Found nothing
AVG Antivirus	Found Generic.OFE
BitDefender	Found nothing
ClamAV	Found nothing
Dr.Web	Found nothing
F-Prot Antivirus	Found nothing
F-Secure Anti-Virus	Found nothing
Fortinet	Found nothing
Kaspersky Anti-Virus	Found nothing
NOD32	Found nothing
Norman Virus Control	Found nothing
Panda Antivirus	Found Generic
Rising Antivirus	Found nothing
Sophos Antivirus	Found nothing
VirusBuster	Found nothing
VBA32	Found nothing

遭遇Trojan-PSW.Win32.OnLineGames,Trojan.PSW.Win32.Agent,Virus.Win32.AutoRun.er等/v2

相关阅读

相关文章

相关问答

相关文档