找回密码
 注册
搜索
热搜: 超星 读书 找书
查看: 1250|回复: 0

[【原创】] 杀除VSETUP.DLL木马的经历(全网首发)

[复制链接]
发表于 2007-5-26 21:27:26 | 显示全部楼层 |阅读模式
  办公室偶同事的一台机机,中上的木马,用升级到最新的卡吧6、BitDefender、Avast、Nod32都查不出来,但是能明显地感觉到机机运行速度奇慢,在系统盘下找到一个CFG文件,打开一看,里面赫然写着“鸡鸡报到”。于是偶将文本内容改成“收到本消息的是SB++SB++”。哈哈~!继续努力查找毒踪~!在机机出现中马症状后,启用任务管理器查看进程,结果发现SVCHOST进程占用CPU达99%。偶有几次想用ICEWORD杀掉进程,结果一打开ICEWORD机机就被远程控制重启,连续如是多次。本来想连线查看问题出在哪,结果还屡次被K~!偶出离地愤怒了~!于是拔掉网线,仔细排查,最后用最新的杀马查出了3个关键的Dll和VXD等文件,总算把马干掉了。最后机器速度恢复正常。你猜偶用了多长时间来处理这台机器?一天半!从5.25中午到5.26的现在8:50,终于搞定了!现在的木马加的壳太牛B,几大著名杀软都查不出来!。
  下面是查获的主要木马名称,供大家参考。在实际中如果遇到同名的,基本可以断定是木马。从后面的清单可以看出该马不仅使用了DLL文件,还使用了VXD驱动来逃避查杀,相当的猖獗和狡猾。其中第1、3、4、8个高危,是木马的骨干程序。

VSETUP.DLL,Heur/Susp.Trojan-Dropper.Win32.Agent.00018000,启发式行为识别:木马/后门,已经忽略,系统扫描,2007-5-26 17:44:55,D:\\WINDOWS\\system32,启发式行为识别:Heur/Susp.Trojan-Dropper.Win32.Agent.00018000,风险81%-->>D:\\WINDOWS\\system32\\VSETUP.DLL,-1,4,,2,2,,7

ide21201.vxd,Threat.Yok.SuperSearch.ide21201.1,恶意软件,已经隔离,系统扫描,2007-5-26 17:45:18,D:\\WINDOWS\\system32,D:\\WINDOWS\\system32\\ide21201.vxd,115451,6,,2,3,,7

vsetup.dll,Heur/Susp.Trojan-Dropper.Win32.Agent.0000E440,启发式行为识别:木马/后门,已经忽略,系统扫描,2007-5-26 17:50:26,D:\\Drivers\\lj1000hostbased-sc,启发式行为识别:Heur/Susp.Trojan-Dropper.Win32.Agent.0000E440,风险81%-->>D:\\Drivers\\lj1000hostbased-sc\\vsetup.dll->E数据流->Stream0001,-1,4,,2,4,,7

diyad[1].js,Threat.AoXun.SpoolSV.plgset.1,恶意软件,已经隔离,系统扫描,2007-5-26 17:52:46,D:\\Documents and Settings\\liurb\\Local Settings\\Temporary Internet Files\\Content.IE5\\450BKR0J,D:\\Documents and Settings\\liurb\\Local Settings\\Temporary Internet Files\\Content.IE5\\450BKR0J\\diyad[1].js,56960,6,,38,5,,7

GoogleToolbarInstaller.exe,Heur/Susp.Trojan-Dropper.Win32.Agent.000A3AA8,启发式行为识别:木马/后门,已经忽略,系统扫描,2007-5-26 17:53:44,D:\\Program Files\\Common Files\\Real\\GToolbar,启发式行为识别:Heur/Susp.Trojan-Dropper.Win32.Agent.000A3AA8,风险77%,加壳:PECompact v2.xx-->>D:\\Program Files\\Common Files\\Real\\GToolbar\\GoogleToolbarInstaller.exe,-1,4,,2,6,,7

GDSSetup.exe,Heur/Susp.Trojan-Dropper.Win32.Agent.000EF068,启发式行为识别:木马/后门,已经忽略,系统扫描,2007-5-26 17:53:44,D:\\Program Files\\Common Files\\Real\\GToolbar,启发式行为识别:Heur/Susp.Trojan-Dropper.Win32.Agent.000EF068,风险99%,加壳:PECompact v2.xx-->>D:\\Program Files\\Common Files\\Real\\GToolbar\\GDSSetup.exe,-1,4,,2,7,,7

RNController.dll,Threat.CNNIC.Cdn.RNController.1,恶意软件,已经隔离,系统扫描,2007-5-26 17:53:45,D:\\Program Files\\Common Files\\Real\\CNNIC,D:\\Program Files\\Common Files\\Real\\CNNIC\\RNController.dll,43678,6,,2,8,,7

Setup.exe,Trojan.Win32.AnyView.Setup.2,木马/后门,已经隔离,系统扫描,2007-5-26 17:54:43,D:\\Program Files\\InstallShield Installation Information\\{A56E7F7F-E963-44FB-8333-F908B6187AB7},D:\\Program Files\\InstallShield Installation Information\\{A56E7F7F-E963-44FB-8333-F908B6187AB7}\\Setup.exe,121352,6,,2,9,,7

AdMon.dll,Adware.Win32.Small.AdMon.1,广告程序,已经隔离,系统扫描,2007-5-26 17:57:14,D:\\Program Files\\IE修复专家\\LiveUpdate,D:\\Program Files\\IE修复专家\\LiveUpdate\\AdMon.dll,113420,6,,2,10,,7

RealPlayer10-6GOLD_cn.exe,Bind.RealPlayer10-5GOLD_cn.1,捆绑软件,已经隔离,系统扫描,2007-5-26 17:57:31,D:\\DownLoads,D:\\DownLoads\\RealPlayer10-6GOLD_cn.exe,71929,6,,2,11,,7
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

Archiver|手机版|小黑屋|网上读书园地

GMT+8, 2024-11-5 11:30 , Processed in 0.235145 second(s), 5 queries , Redis On.

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表