遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等,病毒门诊_PC 啦啦.电脑大本营
遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等,病毒门诊_PC 啦啦.电脑大本营
PC啦啦首页  维修网点  QQ专家在线  电脑保修  工具软件   在线查毒   电脑问题搜索  官方论坛  站点地图  友情链接
 XML   RSS 2.0 
联盟点:北京   上海   深圳   广州   南京   杭州   成都   西安   厦门   武汉   重庆   天津   更多城市
加入收藏夹   设为主页

  认识电脑  

  电脑优化  

  电脑保养  

  故障症状  

  学习维修  

  维修资料  

  病毒门诊  

   数据恢复  

  使用技巧  

  电脑常识  

  笔记本(Notebook)  

  安全技术  
专题导读: 操作系统  Windows Vista系统故障  Windows Xp系统故障  Windows 2003系统故障  Windows 2000系统故障  Windows 98系统故障  软件使用  网络配置  网络攻击  病毒  木马  主板  CPU  内存  硬盘  键盘  显卡  声卡  鼠标  显示器  音箱  刻录机  光驱、光盘  电源、UPS  网络设备  扫描仪  打印机  其它硬件  服务器  游戏平台  手机/MP3  相机/摄像头  USB  无线应用教程 
您的位置: Pclala首页 >> 病毒门诊 >>遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等

遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等

发布日期: 2007-7-10 11:48:38 查看数:

遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等

endurer 原创
2007-07-09 第1

一位网友说他的电脑中瑞星经常提示发现病毒,让偶通过QQ帮他远程协助。

检查瑞星的历史记录,导出一段:
/---
病毒名称  处理结果    扫描方式  路径 文件
Trojan.PSW.Win32.WoWar.sb  删除成功    文件监控    c:\documents and settings\user\local settings\temporary internet files\content.ie5\rz9z7dws             wow0617[1].exe>>upack0.36
Trojan.PSW.Win32.WoWar.sb  删除成功    文件监控    c:\windows\system32               k11839392662.exe>>upack0.36
Trojan.PSW.Win32.OnlineGames.cyh 删除成功    文件监控    C:\WINDOWS                MsIMMs32.exe
Trojan.PSW.Win32.OnlineGames.cxb 忽略        文件监控    C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\FISR35G1             my0616[1].exe
Trojan.PSW.Win32.XYOnline.ae    删除成功    文件监控    c:\documents and settings\user\local settings\temporary internet files\content.ie5\fisr35g1             dh0616[1].exe>>upx_c
Trojan.PSW.Win32.OnlineGames.cxb 删除成功    文件监控    C:\Documents and Settings\user\Local Settings\Temporary Internet Files\Content.IE5\FISR35G1             my0616[2].exe
Trojan.Win32.MnLess.kks         删除成功    文件监控    c:\documents and settings\user\local settings\temporary internet files\content.ie5\kzuuqyaw             vod[1].exe>>upack0.34
Trojan.Win32.MnLess.kks         删除成功    文件监控    c:\windows\system32               k118393927812.exe>>upack0.34
Trojan.IMMSG.Win32.TBMSG.hh     删除成功    文件监控    c:\windows\system32               8bbd01a6.exe>>nspack
Trojan.PSW.Win32.OnlineGames.dbf 重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               msapi.dll
Trojan.IMMSG.Win32.TBMSG.hh     重新启动计算机后删除文件  文件监控    c:\windows\system32               8bbd01a6.dll>>nspack
Trojan.PSW.Win32.CabalOnline.o  重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               cmdbcs.dll
Trojan.PSW.Win32.OnlineGames.dcl 重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               WinForm.dll
Trojan.PSW.Win32.OnlineGames.dcn 重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               AVPSrv.dll
Trojan.PSW.Win32.CabalOnline.o  重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               cmdbcs.dll
Trojan.PSW.Win32.OnlineGames.dcm 重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               nwizqjsj.dll
Trojan.PSW.Win32.OnlineGames.dce 重新启动计算机后删除文件  文件监控    C:\WINDOWS\system32               nwizwlwzs.dll
---/

下载 pe_xscan 扫描log,发现如下可疑项(进程模块部分有省略):
/===
pe_xscan 07-06-23 by Purple Endurer
2007-7-9 12:55:10
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:\WINDOWS\system32\k11839392684.DAT | 2007-7-9 8:1:14
    C:\WINDOWS\system32\MsIMMs32.dll | 2007-7-9 8:4:12

C:\WINDOWS\system32\csrss.exe * 508 | 2005-8-13 21:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Client Server Runtime Process | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CSRSS.Exe | CSRSS.Exe
    C:\WINDOWS\system32\8BBD01A6.DLL | 2007-7-9 7:59:32

C:\WINDOWS\system32\winlogon.exe * 532 | 2005-8-13 21:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE
    C:\WINDOWS\system32\8BBD01A6.DLL | 2007-7-9 7:59:32

C:\WINDOWS\system32\services.exe * 576 | 2005-8-13 21:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Services and Controller app | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | services.exe | services.exe
     C:\WINDOWS\system32\8BBD01A6.DLL | 2007-7-9 7:59:32

C:\WINDOWS\system32\lsass.exe * 588 | 2005-8-13 21:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | LSA Shell (Export Version) | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | lsass.exe | lsass.exe
    C:\WINDOWS\system32\8BBD01A6.DLL | 2007-7-9 7:59:32

C:\WINDOWS\system32\svchost.exe * 780 | 2005-8-13 21:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:\WINDOWS\system32\msapi.dll | 2007-7-7 10:22:44
    C:\WINDOWS\system32\8BBD01A6.DLL | 2007-7-9 7:59:32

C:\WINDOWS\Explorer.EXE * 168 | 2005-8-13 21:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:\WINDOWS\system32\8BBD01A6.DLL | 2007-7-9 7:59:32
    C:\WINDOWS\system32\msapi.dll | 2007-7-7 10:22:44
    C:\WINDOWS\system32\k11839392684.DAT | 2007-7-9 8:1:14
    C:\WINDOWS\system32\nwizqjsj.dll | 2007-7-9 8:1:14
    C:\WINDOWS\system32\AVPSrv.dll | 2007-7-9 8:1:36
    C:\WINDOWS\system32\nwizwlwzs.dll | 2007-7-9 8:2:0
    C:\WINDOWS\system32\WinForm.dll | 2007-7-9 8:3:2
    C:\WINDOWS\system32\cmdbcs.dll | 2007-7-9 8:4:6
    C:\WINDOWS\system32\MsIMMs32.dll | 2007-7-9 8:4:12

C:\WINDOWS\system32\wuauclt.exe * 1404 | 2007-4-16 22:45:20 | Microsoft? Windows? Operating System | 7.0.6000.374 | Windows Update Automatic Updates | ? Microsoft Corporation. All rights reserved. | 7.0.6000.374 (winmain(wmbla).070416-2057) | Microsoft Corporation| ? | wuauclt.exe | wuauclt.exe
    C:\WINDOWS\system32\mucltui.dll | 2007-4-16 22:44:20 | Microsoft? Windows? Operating System | 7.0.6000.374 | Microsoft Update Client UI Plugin | ? Microsoft Corporation. All rights reserved. | 7.0.6000.374 (winmain(wmbla).070416-2057) | Microsoft Corporation| ? | mucltui.dll | mucltui.dll
    C:\WINDOWS\system32\k11839392684.DAT | 2007-7-9 8:1:14

C:\WINDOWS\system32\ctfmon.exe * 2332 | 2005-8-13 21:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:\WINDOWS\system32\k11839392684.DAT | 2007-7-9 8:1:14

F:\软件\QQ.exe * 3044 | 2007-2-2 19:0:12 | TENCENT QQ | 0, 0, 0, 0 | QQ | Copyright  2007 | 0, 0, 0, 0 | TENCENT |  | COMQQD | QQ.exe
    C:\WINDOWS\system32\k11839392684.DAT | 2007-7-9 8:1:14
    C:\WINDOWS\system32\MsIMMs32.dll | 2007-7-9 8:4:12
    C:\WINDOWS\system32\cmdbcs.dll | 2007-7-9 8:4:6
    C:\WINDOWS\system32\WinForm.dll | 2007-7-9 8:3:2
    C:\WINDOWS\system32\AVPSrv.dll | 2007-7-9 8:1:36
    C:\WINDOWS\system32\msapi.dll | 2007-7-7 10:22:44

O4 - HKLM\..\Run: [Microsoft Autorun7] C:\WINDOWS\system32\nwizqjsj.exe
O4 - HKLM\..\Run: [AVPSrv] C:\WINDOWS\AVPSrv.exe
O4 - HKLM\..\Run: [WinForm] C:\WINDOWS\WinForm.exe
O4 - HKLM\..\Run: [Microsoft Autorun11] C:\WINDOWS\system32\nwizwlwzs.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [MsIMMs32] C:\WINDOWS\MsIMMs32.exe

C:\autorun.inf
/-----
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
-----/
D:\autorun.inf
/-----
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
-----/
E:\autorun.inf
/-----
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
-----/
F:\autorun.inf
/-----
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
-----/

O23 - 服务: 4D69CF24 (4D69CF24) - C:\WINDOWS\system32\8BBD01A6.EXE -k | 2007-7-9 8:50:56 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?(自动)

O23 - 服务: npkycryp (npkycryp) - C:\Program Files\Tencent\QQ\npkycryp.sys(手动)

O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:\WINDOWS\System32\drivers\ws2ifsl.sys | 2005-8-13 21:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(禁用)

O25 - InsCom: {81716107-A10D-11cf-64CD-11115FE1CF41} = C:\WINDOWS\system32\nwizzhuxians.exe

SHOWALL    值非1
===/

http://purpleendurer.ys168.com 下载 FreeDLL,bat_do,FileInfo。

用FreeDLL注入进程的病毒模块,用 FileInfo 提取文件信息,用 bat_do 打包并删除,保存点都使用了延迟删除,并生成去除文件属性和删除文件命令,在下次启动时执行。

可惜有些注入进程的病毒模块刚被FreeDLL卸下来,还没提取病毒文件信息,就被瑞星删除了。只好把瑞星实时监控暂时禁用了,先前被删除的病毒文件,也懒得到瑞星的隔离区里恢复了……

用WinRAR删除各盘下的 autorun.inf 和 auto.exe。

http://endurer.ys168.com 下载  HijackThis,修复O4项。

O23、O25项用注册表编辑器删除。

部分病毒文件信息:

文件说明符 : C:\WINDOWS\system32\k11839392684.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-9 8:1:10
修改时间 : 2007-7-9 8:1:12
访问时间 : 2007-7-9 0:0:0
大小 : 8828 字节 8.636 KB
MD5 : 00b6f63160bb15f047cd962893a34192

文件说明符 : C:\WINDOWS\system32\k11839392684.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-9 8:1:11
修改时间 : 2007-7-9 8:1:14
访问时间 : 2007-7-9 0:0:0
大小 : 5506 字节 5.386 KB
MD5 : 21ca9c06990496a0b7642752530c1e33

文件说明符 : C:\WINDOWS\MsIMMs32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-9 8:4:5
修改时间 : 2007-7-9 8:3:36
访问时间 : 2007-7-9 0:0:0
大小 : 22528 字节 22.0 KB
MD5 : 95d8f8399f2f09a583a13c624cea6a2d

文件说明符 : C:\WINDOWS\system32\MsIMMs32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-9 8:4:10
修改时间 : 2007-7-9 8:4:12
访问时间 : 2007-7-9 0:0:0
大小 : 13312 字节 13.0 KB
MD5 : c73d850a7ba83e5b3833715faeb9fdf0

文件说明符 : C:\WINDOWS\system32\8BBD01A6.EXE
属性 : ----
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-7-9 8:50:57
修改时间 : 2007-7-9 8:50:56
访问时间 : 2007-7-9 0:0:0
大小 : 18231 字节 17.823 KB
MD5 : bb7c9cea012dec18c7e7b9619b7b97b7

文件说明符 : C:\WINDOWS\system32\8BBD01A6.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-7 10:6:18
修改时间 : 2007-7-9 7:59:32
访问时间 : 2007-7-9 0:0:0
大小 : 11888 字节 11.624 KB

文件说明符 : C:\WINDOWS\system32\msapi.dll
属性 : A-H-
获取文件版本信息大小失败!
创建时间 : 2007-7-7 10:22:41
修改时间 : 2007-7-7 10:22:44
访问时间 : 2007-7-9 0:0:0
大小 : 65536 字节 64.0 KB
MD5 : c66f30a73f4bf6a0e1373ca1c4e9d45a

文件说明符 : C:\WINDOWS\system32\mucltui.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 7.0.6000.374 (winmain(wmbla).070416-2057)
说明 : Microsoft Update Client UI Plugin
版权 : ? Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 7.0.6000.374
产品名称 : Microsoft? Windows? Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : mucltui.dll
源文件名 : mucltui.dll
创建时间 : 2006-12-31 8:11:36
修改时间 : 2007-4-16 22:44:20
访问时间 : 2007-7-9 0:0:0
大小 : 271224 字节 264.888 KB
MD5 : 5a0cd6dc6a03c5bf47ca2c16fe846d0b

文件说明符 : C:\WINDOWS\system32\nwizwlwzs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-8 8:19:56
修改时间 : 2007-7-9 8:3:36
访问时间 : 2007-7-9 0:0:0
大小 : 10240 字节 10.0 KB
MD5 : 4d3de7dcb170be0734a95b0f17dbb603 

上下页导航
上一页:经验技巧:系统中毒初级自救法 下一页:纯平显示器购买要诀
遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等,病毒门诊_PC 啦啦.电脑大本营 【打印】 字体 【大】 【中】 【小】 【关闭】
热点主题
彻底解决Trojan.PSW.QQPass病毒彻底解决Trojan.PSW.QQPass病毒
Trojan-psw.win32.onlineTrojan-psw.win32.online Games.es 病毒清除办法
sxs.dllsxs.dll sxs.exe病毒专杀工具及sxs.exe病毒手动删除方法
lsass.exe病毒的查杀方法,附专杀工具lsass.exe病毒的查杀方法,附专杀工具
手工删除update.exe病毒手工删除update.exe病毒
ARP病毒临时解决方法ARP病毒临时解决方法
copy.exe病毒copy.exe病毒 硬盘双击打不开了
八步轻松清除desktop.ini病毒八步轻松清除desktop.ini病毒
清除Svchost.exe清除Svchost.exe
有争议的conime.exe有争议的conime.exe
清除pctools.dll清除pctools.dll 新萌科技(上海)有限公司-垃圾广告
感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具感染型病毒Trojan-Downloader.Win32.Delf.axl专杀修复工具
TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)TRojan.PSW.QQPASS病毒手把手彻底删除(winscok.exe,infostealer)
威金蠕虫:所有的exe图标都变色变模糊威金蠕虫:所有的exe图标都变色变模糊
SVCHOST.EXE应用程序错误解决方法SVCHOST.EXE应用程序错误解决方法
魔波”病毒肆虐魔波”病毒肆虐 大量宽带用户上网掉线
上网要谨防“威金worm.viking”病毒的侵袭上网要谨防“威金worm.viking”病毒的侵袭
rootkit.ganima.h和rootkit.ganima.frootkit.ganima.h和rootkit.ganima.f 病毒的查杀方法
解决EXE文件打不开的问题(4种方法)解决EXE文件打不开的问题(4种方法)
专杀death.exe\123.exe病毒专杀death.exe\123.exe病毒
最新主题
Vista任务管理器秘密Vista任务管理器秘密 揪出木马有高招
菜鸟安全知识:认识局域网病毒七大特点菜鸟安全知识:认识局域网病毒七大特点
拔营起寨拔营起寨 针对插入式木马的清除方法
绝对有效的8749病毒最终解决方案绝对有效的8749病毒最终解决方案
如何彻底清楚trojan.agent.bmv病毒如何彻底清楚trojan.agent.bmv病毒
系统为何会自动在后台启动iexplore.exe系统为何会自动在后台启动iexplore.exe
Trojan.DL.IeFrame.cc病毒的清除方法Trojan.DL.IeFrame.cc病毒的清除方法
“随机8位数字”病毒手动清除办法“随机8位数字”病毒手动清除办法
令人抓狂的rundl132和熊猫烧香令人抓狂的rundl132和熊猫烧香
auto.exe和autorun.inf查杀方法auto.exe和autorun.inf查杀方法
你一直被蒙在鼓里!揭秘十大杀毒误区你一直被蒙在鼓里!揭秘十大杀毒误区
看清木马藏身地 学会通用排查技术看清木马藏身地 学会通用排查技术
屏幕字变大而且鼠标指针消失屏幕字变大而且鼠标指针消失
教你几招判断Windows是否被流氓侵入教你几招判断Windows是否被流氓侵入
如何识别非法进程与手工杀毒如何识别非法进程与手工杀毒
彻底清除无法显示隐藏文件病毒彻底清除无法显示隐藏文件病毒
经验技巧:系统中毒初级自救法经验技巧:系统中毒初级自救法
AVKiller病毒的清除AVKiller病毒的清除
网络资源推荐
遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等,病毒门诊_PC 啦啦.电脑大本营 遭遇PSW.Win32.WoWar,Trojan.Win32.MnLess,Trojan.IMMSG.Win32.TBMSG等,病毒门诊_PC 啦啦.电脑大本营
站务联系:XBell@163.com 在线QQ:573861490
备案序号:粤ICP备06093858号
版权所有 2006 PC 啦啦.电脑大本营 最佳分辨率 1024 X 768
Copyright © Http://www.Pclala.com/ All rights reserved. Powered by 在Vbell系列网站投放广告!