c:\windows\mppds.exe
c:\windows\system32\mppds.dll;
创建自启动选项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下生成mppds启动项,值为c:\windows\mppds.exe
进程注入至explorer.exe,为c:\windows\system32\mppds.dll
杀毒软件:360安全卫士(2007-3-29)检测为mppds木马;卡巴斯基3-29中午无法识别,后来我上传了样本,到晚上可以识别为病毒,名称为
Trojan-PSW.Win32.OnLineGames.lm
可以用Syscheck查看注入到Explorer.exe中的进程,再用金山文件粉碎删除cmdbcs.exe和cmdbcs.dll,再删除注册表中的相关键和键值
熊猫烧香的阴影还没褪去,新的“灰鸽子”又大热起来。不幸运的是,这次没感染上灰鸽子木马,因为用“灰鸽子”专杀工具查杀,一个也没找到。
事实情况是杀毒软件CA一直在报警,而且居然是八九个木马在里面发作,但遗憾的是杀不掉,重启又复活了。CA上次在查杀熊猫烧香的时候是非常厉害的,本机的熊猫烧香病毒就是由它搞定的。不过这次显然CA是无能为力了,免费版的CA只查病毒,这次感染的全是木马,唯有另请高明了。
去360安全卫士网站下载了软件,期望360安全卫士能帮忙预先清除一些,不过360安全卫士毕竟不是杀毒软件,虽然也能检测到几个有名称的木马,不过杀不掉。见查杀日志:
———-查杀恶意软件历史———-
2007-03-30 23:48
查杀恶意软件 - upxdnd木马 - 危险 -
查杀恶意软件 - GHook - 危险 - C:\SysDayN6
查杀恶意软件 - 33063204 - 危险 - C:\WINDOWS\system32\jdsfdutj.dat
2007-03-30 23:49
查杀恶意软件 - GHook - 危险 -
2007-03-30 23:51
查杀恶意软件 - cmdbcs - 危险 - C:\WINDOWS\system32\cmdbcs.dll
查杀恶意软件 - msccrt - 危险 - C:\WINDOWS\system32\msccrt.dll
查杀恶意软件 - upxdnd木马 - 危险 -
查杀恶意软件 - mppds木马 - 危险 - C:\WINDOWS\system32\mppds.dll
查杀恶意软件 - GHook - 危险 -
查杀恶意软件 - 33063204 - 危险 - C:\WINDOWS\system32\jdsfdutj.dat
2007-03-30 23:57
查杀恶意软件 - cmdbcs - 危险 - C:\WINDOWS\system32\cmdbcs.dll
查杀恶意软件 - msccrt - 危险 - C:\WINDOWS\system32\msccrt.dll
查杀恶意软件 - upxdnd木马 - 危险 -
查杀恶意软件 - mppds木马 - 危险 - C:\WINDOWS\system32\mppds.dll
查杀恶意软件 - GHook - 危险 -
查杀恶意软件 - 33063204 - 危险 - C:\WINDOWS\system32\jdsfdutj.dat
2007-03-31 00:05
查杀恶意软件 - cmdbcs - 危险 -
查杀恶意软件 - GHook - 危险 -
2007-03-31 00:26
查杀恶意软件 - cmdbcs - 危险 - C:\WINDOWS\system32\cmdbcs.dll
查杀恶意软件 - msccrt - 危险 - C:\WINDOWS\system32\msccrt.dll
查杀恶意软件 - upxdnd木马 - 危险 -
查杀恶意软件 - mppds木马 - 危险 - C:\WINDOWS\system32\mppds.dll
查杀恶意软件 - GHook - 危险 -
2007-03-31 00:48
查杀恶意软件 - GHook - 危险 -
2007-03-31 00:57
查杀恶意软件 - cmdbcs - 危险 - C:\WINDOWS\system32\cmdbcs.dll
查杀恶意软件 - msccrt - 危险 - C:\WINDOWS\system32\msccrt.dll
查杀恶意软件 - upxdnd木马 - 危险 -
查杀恶意软件 - mppds木马 - 危险 - C:\WINDOWS\system32\mppds.dll
查杀恶意软件 - GHook - 危险 -
查杀恶意软件 - 33063204 - 危险 - C:\WINDOWS\system32\jdsfdutj.dat
2007-03-31 01:22
查杀恶意软件 - upxdnd木马 - 危险 -
查杀恶意软件 - GHook - 危险 -
2007-03-31 01:24
查杀恶意软件 - cmdbcs - 危险 - C:\WINDOWS\system32\cmdbcs.dll
查杀恶意软件 - msccrt - 危险 - C:\WINDOWS\system32\msccrt.dll
查杀恶意软件 - mppds木马 - 危险 - C:\WINDOWS\system32\mppds.dll
查杀恶意软件 - 33063204 - 危险 - C:\WINDOWS\system32\jdsfdutj.dat
———-插件卸载操作历史———-
2007-03-31 00:57
插件管理 - cmdbcs - C:\WINDOWS\system32\cmdbcs.dll
插件管理 - msccrt - C:\WINDOWS\system32\msccrt.dll
插件管理 - upxdnd木马 -
插件管理 - mppds木马 - C:\WINDOWS\system32\mppds.dll
插件管理 - GHook -
插件管理 - 33063204 - C:\WINDOWS\system32\jdsfdutj.dat
2007-03-31 00:58
插件管理 - cmdbcs - C:\WINDOWS\system32\cmdbcs.dll
插件管理 - msccrt - C:\WINDOWS\system32\msccrt.dll
插件管理 - upxdnd木马 -
插件管理 - mppds木马 - C:\WINDOWS\system32\mppds.dll
插件管理 - GHook -
插件管理 - 33063204 - C:\WINDOWS\system32\jdsfdutj.dat
虽然安全卫士在这几个木马面前无能为力,不过还是有一个用处,即可以用它来删除启动项及查看系统进程。
看来,要解决这些木马,不是一般的杀毒软件能搞定的了,在windows启动完后杀毒软件根本无法将其查杀,因为木马已经启动了,它们有自我保护功能。只有那种能够在windows启动完成前趁木马还未启动时进行扫描的杀毒软件才能清除得了,这下重新想起来久违的avast!(上次因为地震断网,无法更新,所以删除了)。 目前似乎只有它才能进行开机扫描,其它的杀毒软件所讲的开机扫描太假了,似乎用处不大。
于是到avast!官方网站下载了个中文版,安装后,升级到了最新的病毒库,定制了一个开机扫描。果然杀伤力挺大的,清除了8个木马病毒。见日志:
03/31/2007 01:03
Scan of all local drives
File C:\Documents and Settings\tech\Local Settings\Temporary Internet Files\Content.IE5\0HGBZLIQ\263f72fd70310ebd[1].exe\[NsPack] is infected by Win32:Agent-ELK [Trj], Deleted
File C:\Documents and Settings\tech\Local Settings\Temporary Internet Files\Content.IE5\ZULOLNFF\wmsj0328[1].exe\[FSG] is infected by Win32:OnLineGames-CN [Trj], Deleted
File C:\Documents and Settings\tech\桌面\桌面文档\HA_MemTest35_WGL.exe is infected by Win32:Agent-CTN [Trj], Deleted
File C:\pagefile.sys is infected by Win32:OnLineGames-CN [Trj], Deleted
File C:\Program Files\Ringz Studio\Storm Codec\stormupd.dll is infected by Win32:Trojan-gen. {Other}, Deleted
File C:\Program Files\Tencent\QQBattleZone\OnInjected.dll is infected by Win32:Trojan-gen. {Other}, Deleted
File C:\WINDOWS\system32\E2F1A414T.EXE\[NsPack] is infected by Win32:Agent-ELK [Trj], Deleted
File C:\WINDOWS\system32\EFAB8444T.EXE\[NsPack] is infected by Win32:Agent-ELK [Trj], Deleted
Number of searched folders: 5019
Number of tested files: 66581
Number of infected files: 8
重新进入windowsxp后,电脑清静了,出现了svchost运行错误提示,看来木马病毒的自我保护、自我恢复功能已经被解除了,在任务栏管理器中不再出现那种乱七八糟的进程了,病毒也没有继续在启动项中添加东西了。再接着用安全卫士查杀,果然最顽固的GHook已经清除了,虽然安全卫士仍发现上面中的四个个马,但估计是残留,一杀,显示清除成功,不再看到那个需要重启后才能清除的提示了(事实上重启后,它们又会回来的)。
然后再次查看有无可疑进程,还剩下两个,一个是norton.exe(狡猾,居然用诺顿的名称),一个是 winform.exe,这两个好办,毕竟他们不会自己变幻名称的,直接到windows系统文件夹找到它们删除就是,当然它们还有两个兄弟分别是norton.dll winform.dll也一并删除了。
然后再查看各个系统文件夹,用列表的形式还时间排序,把这两天生成的程序文件全删了,因为这两天才出现木马的,而且并没有安装过任何程序(除了今天的avast!),所以,这两天生成的程序文件肯定是木马或者病毒生成的。
最后把启动项做个清理,那些木马病毒的启动项全删除了(原来删除没用,因为它们又会自动添加,禁止也没用,它们又会改名)。
再次重新启动电脑,查看这些病毒木马会不会复活,再次进入windows查看,无任何可疑迹象,看来是清除成功了!
只是不知道这些病毒木马怎么进来的,居然一次感染了8个!而且奇怪的是,居然会自动打网易的首页。这些木马是相当的可恨和可怕的,因为它们会泄露隐私,并且盗用帐号,所以无论如何都要趁早清除掉,而且要及时修改一些密码。
怎么感染上这些木马的呢?最近并没有下载过什么程序,看来应该是上了什么网站而感染的,估计这次又会有许多人感染上这些病毒。
