中了 www.vnet.cn 巨毒木马, 高分求助, 给200分, 解决另给1000
只要是持续使用, 每隔数分钟 IE/fireFox 就会被自动重定向到一个 www.vnet.cn 的假互联星空网站(ps.本人是电信用户), 这样的木马实在是无比的恶毒, 用 icesowrd 1.18 也没有发现什么隐藏的进程, 不知道此木马如何可以做得到, 水平实在是有限, 希望诸君可以帮小弟一把, 拜谢了.
Logfile of HijackThis v1.99.1
Scan saved at 19:44:30, on 2006-5-27
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\D-Tools\daemon.exe
H:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IDETOOL\IDETOOL.EXE
H:\Program Files\sina\UC\uc.exe
H:\Program Files\Camfrog\Camfrog Video Chat 3.71\Camfrog Video Chat.exe
F:\bak\注册版虚拟摄像头软件\_vcdcut.exe
H:\Program Files\coolpro2\coolpro2.exe
D:\BitComet\BitComet.exe
D:\Tencent\qq\QQ.exe
D:\Tencent\qq\TIMPlatform.exe
H:\Program Files\Windows Media Player\wmplayer.exe
H:\Program Files\Creative\SBLive\SurMix2\SurMix2.exe
H:\Program Files\Internet Explorer\iexplore.exe
H:\Program Files\Kingsoft\PowerWord 2006\XDICT.EXE
D:\TDdownload\patch\hijackthis\HijackThis.exe
H:\WINDOWS\system32\NOTEPAD.EXE
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - H:\WINDOWS\system32\xunleibho_v14.dll
O3 - Toolbar: Camfrog Toolbar - {AF2A1C5A-1AED-4E92-8BA8-D708EB79537E} - H:\Program Files\Camfrog\CamfrogBar\CamfrogBar.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "H:\Program Files\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Camfrog] "H:\Program Files\Camfrog\Camfrog Video Chat 3.71\CamfrogNet.exe" 0 H:\Program Files\Camfrog\Camfrog Video Chat 3.71\Camfrog Video Chat.exe
O4 - Startup: 新浪UC.lnk = H:\Program Files\sina\UC\uc.exe
O4 - Global Startup: IDETool.lnk = C:\Program Files\IDETOOL\IDETOOL.EXE
O8 - Extra context menu item: &使用迅雷下载 - H:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - H:\Program Files\Thunder Network\Thunder\getallurl.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} (Blueskyvoice Control) - http://www.bliao.com/download/blueskyvoice_60.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1740AE8E-1FB1-4350-94A4-BF19D2D335CE}: NameServer = 202.103.224.68,202.103.224.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{58F9D423-11E0-4813-88AE-734A4270E056}: NameServer = 192.168.10.1,192.168.10.2
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - H:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - H:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - H:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - H:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - H:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - H:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - H:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - H:\WINDOWS\system32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - H:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - H:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - H:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - H:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - H:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - H:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - H:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - H:\WINDOWS\system32\wiascr.dll
问题点数:200、回复次数:56Top
1 楼frankMasson(爱人同志)回复于 2006-05-27 21:22:05 得分 0
这本是我机器的问题, 但我在 csdn 发贴老失败, 所以拜托友人发了一贴, 解决后给 1000 分, 水源人气旺, 借地求助, 希望版主大人高抬贵手了, 解决后分可以给在任何区, 谢谢Top
2 楼KwokLeung()回复于 2006-05-27 22:26:35 得分 30
H:\WINDOWS\system32\services.exe进程可以运行很多子进程,包括病毒程序。
建议到http://www.sysinternals.com/下载Process Explorer
(http://www.sysinternals.com/Utilities/ProcessExplorer.html)
看services.exe下究竟运行着哪些可疑进程,凡是"Verify Image Signatures"无法通过的就要仔细辨别。
由于流氓程序几乎总是随系统启动,所以要下载Autoruns分析什么程序在Windows启动时启动。
地址是http://www.sysinternals.com/Utilities/Autoruns.html
建议使用Autoruns时,打开里面的“Verify Code Signatures”.
如果可以的话,告知您中毒之前上过什么网站,让我试试。
如果可以的话,告知您的IP地址,我直接登陆您的系统慢慢分析。
Top
3 楼frankMasson(爱人同志)回复于 2006-05-27 22:26:40 得分 0
水园这会都没有人来了么?Top
4 楼frankMasson(爱人同志)回复于 2006-05-27 22:28:58 得分 0
不好意思, 刚才没有刷新网页, 谢谢楼上的楼上的回复, 给你去消息了, 请查收Top
5 楼shan__le(写累了,不想动了~~)回复于 2006-05-27 22:29:32 得分 11
是一个木马,一般症状可能是这样的,双击任何盘符,不能打开,只能用管理器打开
驱除方法好像是用纯dos状态,删除木马目录,一般在每个盘符都有一个奇怪的目录,而且是隐含的,用pctools能去除Top
6 楼shan__le(写累了,不想动了~~)回复于 2006-05-27 22:31:58 得分 0
此类行病毒很难搞定,一般现场能处理掉,网络环境处理比较难,同情ingTop
7 楼frankMasson(爱人同志)回复于 2006-05-27 22:32:44 得分 0
我也不太记得清自己上过什么网站了, 但自己一直是很小心的, 不装什么奇怪的东西. 刚才用 ai 军刀 查了一下, 它报说有致命病毒 $( -_-! 这是什么病毒啊? ), 点了清除, 这会倒是还没有出现跳转的情况, 但这个病毒好像很智能, 当我用 icesword 做分析的时候, 通常一整晚都不会出现异常, 第二天用不了几下, 就又不行了.Top
8 楼frankMasson(爱人同志)回复于 2006-05-27 22:36:57 得分 0
是啊, 真是太流氓了, 有这样的心机做别的软件不也一样发财么, 干嘛非得写着恶心人的东西, 一朋友中的木马也让人很哭笑不得:
XXXXX 22:06:57
你见没见过这种现象,突然的电脑就发出一些声音,二三秒就完了.
我的最近经常有, 比如刚才就有"起驾回宫","你这判徒,今天晚上就把烧了烤来吃"Top
9 楼Evilfile(0x208WM)回复于 2006-05-27 23:11:05 得分 11
用超级兔子试试吧
Top
10 楼Optione(找个工作太难了)回复于 2006-05-27 23:51:25 得分 11
看看"spoolsv.exe"文件是否正常
最好用autoruns扫描一下.Top
11 楼TCat(蚊子)回复于 2006-05-28 00:24:27 得分 11
金山毒霸的最新版,在安全模式下也杀不了吗?Top
12 楼frankMasson(爱人同志)回复于 2006-05-28 01:03:10 得分 0
用什么杀毒软件也没有发现, 既使是 ai 在第一次启动时说发现病毒, 也点选了清除, 但现在问题还是依旧, KwokLeung(只要有梦想,凡事可成真) 君提到该网页似是中国电信新开通的官网, 那么这个木马反复显示这个网页的用心就很明显了, 希望在我登陆的过程中可以捕获我所使用的密码, 然后去冲游戏卡Q币之类的后, 放到淘宝上面出售...希望和我有一样问题的人都可以提高警觉, 至少要到电信大厅去, 将互联星空的支付业务停掉,希望明天去查帐单, 不会发现被人盗去两百元这样的事情了.Top
13 楼sweetch(龙の吻ж龙文)回复于 2006-05-28 01:09:16 得分 11
在Dos下
C:>Format回车,选择YTop
14 楼zhp97(海天一线)回复于 2006-05-28 01:13:07 得分 11
我似乎中过类似的病毒,后来我也记不得怎么搞定的,不过一般它会调用一个dll文件或exe文件(该文件一般是开机即运行,将你的IE重新设置),重定向问题光清理IE是不够的,重要的找出该dll,在注册表里看看(run下面),不过有些在run下也不会有,这种病毒一般需要耐心的手工处理。Top
15 楼frankMasson(爱人同志)回复于 2006-05-28 01:19:18 得分 0
我觉得这个木马的制作水平相当的精良, 大概属于那种一开机就注入系统线程的那类Top
16 楼frankMasson(爱人同志)回复于 2006-05-28 09:53:43 得分 0
顶Top
17 楼CoolSlob()回复于 2006-05-28 10:14:12 得分 5
哦
CSDN论坛浏览器:http://CoolSlob.ys168.com/
Top
18 楼fronm(时间)回复于 2006-05-28 10:18:32 得分 0
无条件接分
Top
19 楼lj860603(跑吧,键键)回复于 2006-05-28 10:50:53 得分 5
如果不能解决的话,干脆重装系统:)Top
20 楼yturieo(什么都没有)回复于 2006-05-28 11:43:06 得分 11
朋友的电脑也有这个木马,几番周折无果。各种办法都试过了,病毒会在几秒钟内将自己修复如初。确实是很强的病毒。Top
21 楼frankMasson(爱人同志)回复于 2006-05-28 19:27:46 得分 0
seems we are looking for a ghost. god bless all the users of ChinaTelecom, plsTop
22 楼fhb13(游途道标)回复于 2006-05-28 19:33:35 得分 11
重装系统Top
23 楼lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~)回复于 2006-05-28 19:37:12 得分 0
别的log 就不分析了,起码可以有一点可以非常肯定 !! LZ 是经常泡视频聊天儿的主儿 ! LZ 大胆的把那些裸聊的站点贴出来吧 !! 顺便把那些avi mpg 也贡献出来吧 ^O^Top
24 楼frankMasson(爱人同志)回复于 2006-05-28 19:37:33 得分 0
也不是没有考虑过重装, 因为它花掉我很多个小时的心神, 我希望这个问题可以被解决, 然后总结出来之后, 自然也会少一些受害者, 虽然总会有更变态的木马出现, 但至少能少一个就是一个.Top
25 楼lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~)回复于 2006-05-28 19:39:15 得分 0
XXXXX 22:06:57
你见没见过这种现象,突然的电脑就发出一些声音,二三秒就完了.
我的最近经常有, 比如刚才就有"起驾回宫","你这判徒,今天晚上就把烧了烤来吃"
-----------------------------------------------
呵呵 这个暴笑 ~O~ 哈哈哈 贞子大姐也学会上网啦 ? 哈哈Top
26 楼lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~)回复于 2006-05-28 19:40:16 得分 0
装个 taskinfo2003 然后分析一下 services.exe 调用的本地文件看看Top
27 楼frankMasson(爱人同志)回复于 2006-05-28 19:45:07 得分 0
to lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~):
拜托了, 哥几个儿不都是高手中的高手吗?
另外, 在网络上遇到美眉的机会实在不比十分钟写出一千行高效率高质量高复用性的 ASM 代码高多少. 还不如寄情于酒吧, 留名于 nite club , 以上建议, 仅供各位大人台鉴.Top
28 楼KwokLeung()回复于 2006-05-28 19:50:36 得分 0
楼主,you said "用 ai 军刀 查了一下, 它报说有致命病毒", did the "ai 军刀" say which file was infected?Top
29 楼frankMasson(爱人同志)回复于 2006-05-28 19:52:39 得分 0
nopeTop
30 楼frankMasson(爱人同志)回复于 2006-05-28 19:54:01 得分 0
刚才我把一个 advance zip repair 卸了, 却有一个文件却没有被自动卸载 AZRSHL.dll, 看来相当的可疑Top
31 楼lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~)回复于 2006-05-28 19:56:07 得分 0
用 unlocker 删掉看看Top
32 楼frankMasson(爱人同志)回复于 2006-05-28 20:01:08 得分 0
很轻松就删掉了...不知道这玩意儿是不是主体藏得很好, 开机注入线程后自己就自杀的那种Top
33 楼KwokLeung()回复于 2006-05-28 20:01:55 得分 0
I search Google for "AZRSHL.dll" --->
找不到和您的查询 "AZRSHL.dll" 相符的网页。Top
34 楼lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~)回复于 2006-05-28 20:03:23 得分 0
说了噻,这种情况用 taskinfo32 可以监控的到的Top
35 楼wudi_1982(向伴水学习|胃出血,住院中)回复于 2006-05-28 20:04:24 得分 0
接分。Top
36 楼KwokLeung()回复于 2006-05-28 20:22:01 得分 11
TaskInfo功能较多,可下载试试。
http://www.iarsn.com/taskinfo/tskinf62.exe
Name: sz1001
Code: TSKINFA001-0815-2J63-0321-3JAT-86F1Top
37 楼nowords(一声不吭 Bridge to Terabithia)回复于 2006-05-28 21:32:27 得分 11
GHOST才素王道,MS都说了杀毒软件只能防,但是如果中了最好的方法就是重装
试试SPYBOTTop
38 楼WarFather(战神--插鲜花专用牛粪)回复于 2006-05-28 21:37:49 得分 0
为什么老有人写这么些恶心的东西,哪天揪出几个打一顿就安静了Top
39 楼libany(紫心灯—JANJA)回复于 2006-05-28 21:52:46 得分 11
第一种方法(不行就用第二种)
搜索注册表关键字为: www.vnet.cn
第二种方法:
1.运行MSCONFIG看有没有可疑的启动项
2.把XP的防火墙开起来,高级里边看有那些是例外的,从里边应该看得到病毒程序叫什么Top
40 楼libany(紫心灯—JANJA)回复于 2006-05-28 21:53:09 得分 1
找到删除就行了Top
41 楼CyberVsQ(逸趣)回复于 2006-05-28 21:55:13 得分 1
谁知道中搜的老总的手机或者家庭电话,我今晚要打电话去问候他母亲
Top
42 楼CyberVsQ(逸趣)回复于 2006-05-28 21:55:32 得分 1
就是那个划词搜索的Top
43 楼CyberVsQ(逸趣)回复于 2006-05-28 22:05:28 得分 1
还有网络猪
陈沛Top
44 楼frankMasson(爱人同志)回复于 2006-05-28 22:18:27 得分 0
tks, KwokLeung
i've installed that software, and now it's running, hopefully we can find sth suspicious here.Top
45 楼lgj1012(国产超人:队长~~楼下那几个牛鬼蛇神很可疑~)回复于 2006-05-29 00:07:52 得分 11
中搜得前几天不是有来水源吹嘘其技术实力的吗? 被骂得狗血淋头的走了 呵呵Top
46 楼naiza(叼虫小鸡)回复于 2006-05-29 07:53:28 得分 11
用SecuritySuite.exe这个试试看,还挺好用的
http://www.orsoon.com/Top
47 楼frankMasson(爱人同志)回复于 2006-05-29 10:54:17 得分 0
用软件监视了一整上午, 这下子它一次也不弹出来了, 以前也这样, 用这类的软件的时候, 它总是会不出现异常Top
48 楼frankMasson(爱人同志)回复于 2006-05-29 18:41:40 得分 0
upTop
49 楼Purpleendurer(编程—>任是无情也动人^_^)回复于 2006-05-29 20:07:54 得分 11
楼主到安全模式下扫描一个log发上来看看Top
50 楼frankMasson(爱人同志)回复于 2006-05-31 23:39:45 得分 0
我已经打算重装了, 虽然问题并没有得到解决, 但是希望看到这个贴的人也能得到一个警醒 --- 互联星空真是害人不浅, 大家一定要记得关闭啊Top
51 楼frankMasson(爱人同志)回复于 2006-05-31 23:41:45 得分 0
明天即将结贴, 谢谢各位朋友的参与也友情提示. 特别感谢
KwokLeung(只要有梦想,凡事可成真)
帮我远程调试, 不知道您想结贴结在哪呢?Top
52 楼frankMasson(爱人同志)回复于 2006-05-31 23:45:16 得分 0
小计, 消费了WOW点卡两张, 60 元, 调试时间2X 小时, 与 10000 交涉半小时未果, 他们说因为是在本机上进行的消费, 所以不能判断是否被盗用, 拒绝退还.Top
53 楼naiza(叼虫小鸡)回复于 2006-06-01 07:59:30 得分 1
哦同情楼主一下Top
54 楼ddgfei(无语,除了UP我不知道说什么好了)回复于 2006-06-01 08:28:50 得分 1
格式化硬盘吧Top
55 楼realdreamer(楼主英明,贫僧久仰大名,特来拜见)回复于 2006-06-01 10:22:48 得分 0
大家好, 结贴了, 我是他朋友, 贴是我发的, 他机器中毒了. 感谢各位帮忙!!Top
56 楼realdreamer(楼主英明,贫僧久仰大名,特来拜见)回复于 2006-06-01 10:33:35 得分 0
"起驾回宫", "你这叛徒,今晚就把你烧了烤来吃" ,这些, 现已证明不是病毒, 是本人的Q友弦铃铃音. 不必惊慌. 看来我电脑还是比较稳定的. 可以安心上网了~ 再次谢谢大家Top
