再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)

原创

PurpleEndurer 2022-12-12 14:59:54 博主文章分类：原创作品 ©著作权

文章标签 网游 c exe class report 文章分类 运维

©著作权归作者所有：来自51CTO博客作者PurpleEndurer的原创作品，请联系作者获取转载授权，否则将追究法律责任

endurer　原创

2006-08-13　第2版补充一个漏网的
2006-08-12　第1版

　　今早一上网，就有网友求助。他电脑屏幕右下角的瑞星实时监控小伞图标不见了，手动启动也不行。

　　通过QQ远程协助，先运行瑞星注册表修复工具，发现 EXE文件关联和系统启动项（即下面HijackThis的log中的F2项）被修改了。

　　到 http://endurer.ys168.com 下载了 Hijackthis 和 procview。

　　运行 Hijackthis 扫描log 和启动项列表，发现如下可疑项目：

----------
Logfile of HijackThis v1.99.1
Scan saved at 8:24:59, on 2006-8-12

C:/WINDOWS/System32/NTdHcP.exe
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/System32/NTdhcp.exe

F2 - REG:system.ini: Shell=Explorer.exe 1

O2 - BHO: IHiu Class - {958E60AD-8539-400d-B4EF-8E8B8D944E85} - C:/WINDOWS/System32/BHOPOP.dll

O2 - BHO: shdocvwhlp Class - {BE442802-3911-46E0-B227-076B15A4EAD3} - C:/WINDOWS/System32/mssnmp16.dll

O4 - HKLM/../Run: [TProgram] C:/WINDOWS/SMSS.EXE

O4 - HKLM/../Run: [NTdhcp] C:/WINDOWS/System32/NTdhcp.exe

O4 - HKLM/../Run: [WinSvc] C:/WINDOWS/System32/WinSvc.exe

O4 - HKLM/../RunServices: [TProgram] C:/WINDOWS/SMSS.EXE
----------

StartupList report, 2006-8-12, 8:25:32

File association entry for .EXE:
HKEY_CLASSES_ROOT/winfiles/shell/open/command

(Default) = C:/WINDOWS/ExERoute.exe "%1" %*
----------

看到 ExERoute.exe，我就想起了传奇盗号木马。

用瑞星注册表修复工具修复 EXE文件关联和系统启动项。

用 ProcView 终止进程：
C:/WINDOWS/SMSS.EXE
C:/WINDOWS/System32/NTdHcP.exe（注意：有两个）

检查下列文件夹，发现如下可疑文件，用 WinRAR 打包备份，并加上扩展名 .del：

C:/WINDOWS 的目录
------------
2006-08-11 09:54            47,957 SMSS.EXE.del
2006-08-11 09:54            47,957 1.com.del
2006-08-11 09:54            47,957 finder.com.del
2006-08-11 09:54            47,957 explorer.com.del
2006-08-11 09:54            47,957 ExERoute.exe.del（与上面4个文件相同，Kaspersky 报为 Trojan-PSW.Win32.WOW.ew）
2006-04-19 08:07           300,032 RealPlayer.exe.del(这个就是　遭遇灰鸽子BackDoor.Gpigeon.ymg新变种　中说的那个东东，当时忙，没上报瑞星，想不到瑞星18.39.42 还杀不了)

C:/WINDOWS/DEBUG 的目录------------
2006-08-12 08:22 48,171 DebugProgram.exe.del

C:/WINDOWS/system32 的目录
------------
2003-03-15 00:00            17,389 mswdm.exe.del（Kaspersky 报为 Trojan-PSW.Win32.Lmir.azf，瑞星报为Trojan.PSW.Lmir.kuo）
2006-08-11 09:54             5,250 WinSvc.exe.del
2006-08-11 10:59            46,592 BHOPOP.dll.del（Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy）
2006-08-11 11:01            53,248 InTernater.exe.del（Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy）
2006-08-12 08:22            29,802 1.exe.del
2006-08-12 08:22            48,171 0.exe.del
2006-08-11 15:58            29,802 NTdHcP.exe.del
2006-08-12 08:22            48,171 rundll32.com.del
2006-08-12 08:22            48,171 finder.com.del
2006-08-12 08:22            48,171 command.pif.del
2006-08-12 08:22            48,171 MSCONFIG.COM.del
2006-08-12 08:22            48,171 dxdiag.com.del
2006-08-12 08:22            48,171 regedit.com.del

C:/PROGRAM FILES/Internet Explorer 的目录
------------
2006-08-12 08:22 48,171 iexplore.com.del

C:/Documents and Settings/abc/Local Settings/Temp 的目录
------------
2006-08-11 11:01 53,248 svchost.exe（Kaspersky 报为 Trojan-Downloader.Win32.Agent.asy）
2006-08-11 09:54 5,250 22085.com

D:/ 的目录
------------
2006-08-12 08:43 33 autorun.inf.del
2006-08-11 09:54 47,957 pagefile.pif.del（Kaspersky 报为 Trojan-PSW.Win32.WOW.ew，瑞星报为 Trojan.PSW.Misc.kcc）

与

遭遇Trojan.PSW.Lmir等病毒（第4版）
http://endurer.blogchina.com/4634161.html

清除盗游戏帐号的密西木马变种(Trojan.PSW.Misc.r）等
http://endurer.blogchina.com/4968800.html

遭遇Viking/威金、Trojan-PSW.Win32.WOW.do等(三) http://endurer.blogchina.com/5424439.html

相似。

运行HijackThis 修复上面所列的可疑项目。

清空IE临时文件夹。