遭遇Trojan.PSW.Lmir等病毒(第2版)
endurer原创
2006-03-11第2版 补充了具体处理过程
2006-03-10第1版
昨天,一位朋友打电话来说,他的电脑出了问题,总提示出错,无法使用。
我教他进入安全模式检查看看。过了一会,他打电话来说已经在安全模式下用什么助手的系统修复功能,还是不行,让我帮忙看看。
朋友的电脑比较老,使用的是Win 98。进入桌面后不断提示Explorer.exe出错,想正常关机都不行。
按Reset按钮,强制重新启动,按F8键,选择Safe Mode,进入安全模式,不再提示Explorer.exe出错了。看来是开机启动项有问题。
好在以前帮朋友弄电脑时用的HijackThis还在,扫描log,发现如下可疑或需要修复的项目:
Logfile of HijackThis v1.99.1
Scan saved at 8:41:05, on 06-3-10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 (6.00.2462.0000)
Running processes:
C:\WINDOWS\WINLOGON.EXE
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O2 - BHO: EyeOnIE Class - {6E28339B-7A2A-47B6-AEB2-46BA53782379} - C:\PROGRAM FILES\PCDOWNLOADER\BHOPLUGIN.DLL
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\CNSHOOK.DLL
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRAM FILES\YAHOO!\ASSISTANT\ASSIST\YASBAR.DLL
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file)
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - Global Startup: IE-BAR.lnk = C:\WINDOWS\rundll32.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:\PROGRAM FILES\YISOU\YISOU.DLL/232
O9 - Extra button: (no name) - {233A9694-667E-11d1-9DFB-006097D5040A} - (no file)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 -
{FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} - http://jump.cnnic.cn/stat/stat?sid=0008&url=http://159.226.202.54/download/cnnic/mini/cdn.cab
O21 - SSODL: DLMon - {590498A3-4131-4D8F-BA4B-36791A0803B1} - C:\WINDOWS\SYSTEM\DLMain.dll
原来朋友是用雅虎助手来修复的,真是“与虎谋皮”。
到控制面板的“添加删除程序”里想把雅虎助手卸载,不想这东东居然要在线卸载,而Win 98的安全模式是连网的。先把IE-BAR等几个可疑的项目卸掉了。
在log中,进程C:\WINDOWS\WINLOGON.EXE出现的有点怪,因为安全模式下
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
这项不会被系统执行。
找到
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\SYSTEM\rundll32.com
C:\WINDOWS\SYSTEM\regedit.com
C:\WINDOWS\SYSTEM\Msconfig.com
C:\WINDOWS\SYSTEM\finder.com
C:\WINDOWS\SYSTEM\dxdiag.com
C:\WINDOWS\TEMP\a.exe
C:\WINDOWS\TEMP\b.exe
C:\WINDOWS\finder.com
C:\WINDOWS\Internet.exe
C:\WINDOWS\system.exe
C:\WINDOWS\Winlogon.exe
等可疑文件,为这些文件加上.bak或.del的扩展名。
还发现了远程控制程序remote administrator,打包备份后删除。
接着问题就来了,运行程序时提示找不到C:\WINDOWS\ExERoute.exe。
原来C:\WINDOWS\ExERoute.exe修改了.EXE文件关联。每次运行.EXE程序就会运行ExERoute.exe!
这个问题可以用瑞星或金山毒霸的注册表修复工具解决。但在Win 98的安全模式下无法上网下载。
机子老,无USB接口,用软盘拷来瑞星注册表修复工具,不料软驱读软盘出错!
只好手工到注册表里修改,把regedit.exe改成regedit.com,进入注册表编辑器,修复了EXE文件关联。
用HijackThis修复了前面所列的项目。
重新启动电脑,这次进入Windows不再提示explorer.exe出错了,
运行瑞星杀毒助手,使用瑞星在线免费扫描,发现35个染毒文件:
文件名 病毒名
C:\WINDOWS\SYSTEM\rundll32.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\MSCONFIG.COM Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com Trojan.PSW.Lmir.jag(Kaserpersky报为Trojan-PSW.Win32.Lmir.aov)
C:\WINDOWS\SYSTEM\dxdiag.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\regedit.com Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\command.pif Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\rundll32.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\ca.exe>>b.EXE Trojan.PSW.Lmir.jbg(Kaspersky实时监控不报,手动扫描报为Trojan-PSW.Win32.Lmir.aoe)
C:\WINDOWS\SYSTEM\qq.exe.bak Trojan.PSW.LMir.jdc(Kaspersky报为Trojan-PSW.Win32.Lmir.aqo)
C:\WINDOWS\SYSTEM\DLMon.dll Trojan.DL.Agent
C:\WINDOWS\SYSTEM\DLMain.dll.del Trojan.DL.Agent(Kaspersky报为Trojan-Downloader.Win32.Agent.ue)
C:\WINDOWS\SYSTEM\regedit.com.bak Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\Msconfig.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\finder.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\SYSTEM\dxdiag.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\TEMP\a.exe.bak Dropper.PSW.Lmir.agd
C:\WINDOWS\TEMP\b.exe.bak Trojan.PSW.Lmir.jje
C:\WINDOWS\Temporary Internet Files\Content.IE5\OHM7O5Y7\a[1].exe Dropper.PSW.Lmir.agd
C:\WINDOWS\Temporary Internet Files\Content.IE5\KBLFIAZT\qq[2].hta Script.Taorao.a (Kasersky报为Trojan-Dropper.VBS.Taorao)
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\9[1].exe Trojan.PSW.LMir.jdc
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\10[1].exe>>b.EXE Trojan.PSW.Lmir.jbg
C:\WINDOWS\Temporary Internet Files\Content.IE5\CE4B7TKT\11[1].exe Trojan.PSW.LMir.jdc
C:\WINDOWS\Temporary Internet Files\Content.IE5\SNXFUIN1\b[1].exe Trojan.PSW.Lmir.jje
C:\WINDOWS\72896.DLL Trojan.PSW.LMir.jdc
C:\WINDOWS\explorer.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\finder.com Trojan.PSW.Lmir.jag
C:\WINDOWS\explorer.com Trojan.PSW.Lmir.jag
C:\WINDOWS\1.com.bak Trojan.PSW.Lmir.jag
C:\WINDOWS\finder.com.del Trojan.PSW.Lmir.jag
C:\WINDOWS\Internet.exe.del Trojan.PSW.LMir.jdc
C:\WINDOWS\system.exe.del>>Unpack Trojan.Clicker.VB.cd(Kaspersky报为Trojan.Win32.VB.aat)
C:\WINDOWS\1.com Trojan.PSW.Lmir.jag
C:\WINDOWS\Winlogon.exe.del Trojan.PSW.Lmir.jag
C:\WINDOWS\ExERoute.exe.bak Trojan.PSW.Lmir.jag
C:\Program Files\Common Files\iexplore.pif Trojan.PSW.Lmir.jag
C:\Program Files\Internet Explorer\iexplore.com Trojan.PSW.Lmir.jag
都用瑞星杀毒助手解决了。
发现原来被改名的病毒文件又出来了,看看关联了.EXE文件的ExERoute.exe每次运行时都会检查病毒文件,不存在则重新创建。
由于.com文件的运行优先级比.exe高,即当我们输入命令: msconfig时,系统运行的是病毒程序msconfig.com,则不是系统配置程序msconfig.exe!
看来以后运行系统内置命令还得指明扩展名。
另外,还得备以EXE文件关联修复程序备用。一般杀毒软件在启动时会检查并修复EXE文件关联。但在线查杀病毒是否也有这个功能还是未知数。
另外还发现一个可疑文件:setup.exe: AntiVir报为Dropper/DMSec.A dropper
