文件名称:help.exe
文件大小:22980 bytes
AV命名:Generic.PWStealer.2F1D414B(BD)
依赖平台:Windows(9X以上系统)
加壳方式:UPX 0.89.6 - 1.02 / 1.05 - 1.24
编写语言:Borland Delphi 6.0 - 7.0
病毒类型:Trojan
文件MD5:87d821d0b0b0fcfede0519c75ef8292f
病毒行为:
1、释放病毒文件:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.ins 27588 字节
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.jup 22980 字节
2、System16.ins 插入Explorer进程,并使用Hook技术监视消息。
3、删除文件:
%Systemroot%\system32\dllcache\verclsid.exe
%Systemroot%\system32\verclsid.exe
4、依附宿主,反掸连接61.152.255.*** 61.177.95.***等下载木马:
%Systemroot%\mppds.exe %Systemroot%\system32\dhbini.dll %Systemroot%\system32\dhbpri.dll %Systemroot%\system32\jhaini.dll %Systemroot%\system32\jhapri.dll %Systemroot%\system32\jzeini.dll %Systemroot%\system32\jzepri.dll %Systemroot%\system32\mppds.dll %Systemroot%\system32\myaini1.dll %Systemroot%\system32\mybpri.dll %Systemroot%\system32\qhbpri.dll %Systemroot%\system32\wdbini.dll %Systemroot%\system32\wdbpri.dll %Systemroot%\system32\wgdini.dll %Systemroot%\system32\wgdpri.dll %Systemroot%\system32\wldini.dll %Systemroot%\system32\wldpri.dll %Systemroot%\system32\ztkini.dll %Systemroot%\system32\ztkpri.dll %Systemroot%\system32\zxeini.dll %Systemroot%\system32\zxepri.dll |
(临时文件夹里病毒略)
有包括:QQ 魔域 大话西游 QQ华夏 完美世界等网游盗号木马。
使用WH_KEYBOARD、WH_MOUSE,Hook技术监视键盘和鼠标的操作获得帐号密码。
解决方法:
到down.45its.com下载:sreng2.zip和IceSword120_cn.zip(也就是下文提到的冰刃),下载后直接放桌面,关闭不需要的进程,断开网络。
1、打开冰刃,设置—禁止进线程创建—确定。
2、利用冰刃“文件”功能(详细步骤:打开冰刃-文件-依次找到病毒文件删除即可),删除:
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.ins
C:\Program Files\Common Files\Microsoft Shared\MSInfo\System16.jup
这2个是重点,还有以下的盗号木马(也是使用冰刃删除):
%Systemroot%\mppds.exe %Systemroot%\system32\dhbini.dll %Systemroot%\system32\dhbpri.dll %Systemroot%\system32\jhaini.dll %Systemroot%\system32\jhapri.dll %Systemroot%\system32\jzeini.dll %Systemroot%\system32\jzepri.dll %Systemroot%\system32\mppds.dll %Systemroot%\system32\myaini1.dll %Systemroot%\system32\mybpri.dll %Systemroot%\system32\qhbpri.dll %Systemroot%\system32\wdbini.dll %Systemroot%\system32\wdbpri.dll %Systemroot%\system32\wgdini.dll %Systemroot%\system32\wgdpri.dll %Systemroot%\system32\wldini.dll %Systemroot%\system32\wldpri.dll %Systemroot%\system32\ztkini.dll %Systemroot%\system32\ztkpri.dll %Systemroot%\system32\zxeini.dll %Systemroot%\system32\zxepri.dll |
3、设置冰刃,重启并监视。
4、重启后打开SREng,删除(不一定全,没有的略过即可):
注册表(详细步骤:打开SREng-启动项目-注册表):
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Shell><"C:\winnt\system32\Rundll32.exe" "C:\winnt\system32\shell32.dll",Control_RunDLL "C:\DOCUME~1\admin\LOCALS~1\Temp\dat7.tmp"> [N/A]
<qrumxel><C:\DOCUME~1\admin\LOCALS~1\Temp\explorei.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mppds><C:\winnt\mppds.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><jhapri.dll> []
注意,这个键不要删除,编辑置空,打开SREng注册表,它会提示,点确定后自动修复。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{014A26F5-FBAD-4549-9CA1-C38210704BD1}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System16.ins> []
<{B1351752-5628-1547-FFAB-BADC13512AFB}><C:\winnt\system32\ztkpri.dll> []
<{1182C1EB-375C-573D-1F5E-234552345211}><C:\winnt\system32\wldpri.dll> []
<{E25C29AB-12B9-4523-A53C-324B5FBA648C}><C:\DOCUME~1\admin\LOCALS~1\Temp\dat7.tmp> []
<{559AFD5B-159F-ACD8-954C-ACD545FA6585}><C:\winnt\system32\jzepri.dll> []
<{425AB2F3-234A-7469-2F43-E341713ABFA4}><C:\winnt\system32\wgdpri.dll> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> []
<{252D2432-37A2-324F-2A54-21BF5CF2F1A2}><C:\winnt\system32\jhapri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\winnt\system32\dhbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\winnt\system32\qhbpri.dll> []
<{2562452F-FA36-BA4F-892A-FF5FBBAC5312}><C:\winnt\system32\mybpri.dll> []
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\winnt\system32\zxepri.dll> []
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:\winnt\system32\wdbpri.dll> []
5、升级杀软,全盘扫,并修改QQ、Mail、网游等密码。。。