微点交流论坛 - 反病毒 - [求助]win32.spy病毒

dazhongwyz
新手上路

积分 9
发帖 9
注册 2007-1-22

#1 [求助]win32.spy病毒

一直试用微点，感觉不错，可昨天我不在时候，同学在我机子上通过局域网访问他自己的电脑，感染此病毒（微点虽拦截，他以为误报，添加信任程序）。

通过优化大师启动项检测如下：
启动项：DirectX
说明：Microsoft? Windows? Operating System
类型：注册表
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
打开注册表编辑器，并定位到该注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
命令行：{DA1910DE-AA86-4ED0-874B-2924E38BAD99}
打开资源管理器，并定位到该文件所在目录：
产品名称：Microsoft? Windows? Operating System
发行商：Microsoft Corporation
文件版本：5.1.2600.0 (xpclient.010817-1148)
影响范围：所有用户
描述：Microsoft? Windows? Operating System
建议：无

尝试删除，无效，开机又有，通过微点的木马日志，查出，除生成上述注册表项外，还在system32下生成D9DX.DLL和隐藏文件D3D8XOF.DLL，去安全模式下也会自动加载DirectX项，D3D8XOF.DLL可删除，D9DX.DLL无法删掉，怀疑线程插入explorer.exe,利用冰刃强制删除，发现HKEY_USERS\S-1-5-21-3188227004-2223665630-3201159491-500\Software\Microsoft\Search Assistant\ACMru 5603 5604 下D3D8XOF.DLL D3D8XOF.DLL，删除ACMru全部,及HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32 下 D3D8XOF.DLL。
重启，发现依然全部又自动生成，多次试之，发现即使在安全模式下删掉，他们，不重启的话，过会又自动出现。

郁闷之极，终于决定GHOST还原到以前的备份，可GHOST完后发现，竟然还在，怀疑机子上EXE文件全被感染。

不想全格，本人菜鸟一个，凭自己的经验只能做到如此，请教各位达人们，如何彻底删除此病毒，并让感染的EXE程序全部恢复，不然即使杀掉，一运行EXE程序，又会遭殃。

由于本人用锐捷通过校园网上网，病毒感染破坏锐捷文件的话。我会被网络中心自动拉到黑名单无法上网，所以一定请各位达人赐教。不胜感激。。。。。。

※ ※ ※ 本文纯属【dazhongwyz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 18:40

segourigh
中级用户

新手上路

积分 251
发帖 237
注册 2006-2-19

#2

你的临时文件夹是否设在其他盘了？有些ghost系统会转移你的临时文件夹，找到删除再ghost还原看看

※ ※ ※ 本文纯属【segourigh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 18:47

dazhongwyz
新手上路

积分 9
发帖 9
注册 2007-1-22

#3

没有，我现在很确定，所有EXE均被感染。

※ ※ ※ 本文纯属【dazhongwyz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 18:52

segourigh
中级用户

新手上路

积分 251
发帖 237
注册 2006-2-19

#4

所有EXE均被感染？不会是威金吧？

※ ※ ※ 本文纯属【segourigh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 19:03

y0365
版主

使用与技巧版主

积分 1603
发帖 1571
注册 2007-1-27

#5

没办法了微点已经拦截你加可信等微点出扫描功能就不怕了

※ ※ ※ 本文纯属【y0365】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 19:06

dazhongwyz
新手上路

积分 9
发帖 9
注册 2007-1-22

#6

上网查得此病毒具体描述如下，但未找到解决办法，希望有能力者帮之。

Win32.Spy
这是一个windows平台的感染型病毒，感染.exe可执行文件，该病毒会收集用户系统相关信息并提交到制定的网址。

1、释放病毒文件到如下路径并设置其属性为系统、隐藏、只读：
%system%\d9dx.dll
%system%\d3d8xof.dll

2、修该注册表，添加如下注册表项：

(Default) = "C:\WINDOWS\system32\d3d8xof.dll"

ThreadingModel = "Apartment"

DirectX = "{DA1910DE-AA86-4ED0-874B-2924E38BAD99}"

CheckBKFlags = 随机值

3、创建如下互斥体：
ACPI#PNPDODO#1#Amd_DL5
__DL5XYEX__
__DL_CORE5_MUTEX__

4、搜索explorer.exe进程并注入，创建两个病毒线程：

线程1：
a、创建浏览器进程，注入病毒代码，收集用户信息，提交到如下网址之一：
h**p://me**age.microsofte.in/counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d
h**p://www.im**0rldwide.com/DL/Counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d

b、从入下网址之一读取配置信息，自更新文件：
h**p://www.im**0rldwide.com/DL/1.dat
h**p://me**age.microsofte.in/updata.dlm

线程2：遍历磁盘，感染文件名中含有.exe的可执行文件，但不感染符合如下条件的文件：
路径中含有如下字符串：
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\

文件名包含在如下列表中的文件：
zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
大话西游.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe

※ ※ ※ 本文纯属【dazhongwyz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 19:10

segourigh
中级用户

新手上路

积分 251
发帖 237
注册 2006-2-19

#7

http://vi.duba.net/index.php?CODE=02&virusid=38964这是病毒信息，头疼，还不能用杀软直接杀，否则你的可执行文件就全完了

※ ※ ※ 本文纯属【segourigh】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 19:17

dazhongwyz
新手上路

积分 9
发帖 9
注册 2007-1-22

#8

各位斑竹达人们，救救我吧~！！！！！

※ ※ ※ 本文纯属【dazhongwyz】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-5-21 19:24

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号