Board logo

标题: [求助]win32.spy病毒 [打印本页]
作者: dazhongwyz     时间: 2007-5-21 18:40    标题: [求助]win32.spy病毒

一直试用微点,感觉不错,可昨天我不在时候,同学在我机子上通过局域网访问他自己的电脑,感染此病毒(微点虽拦截,他以为误报,添加信任程序)。

通过优化大师启动项检测如下:
启动项:DirectX
说明:Microsoft? Windows? Operating System
    类型:注册表
    位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    打开注册表编辑器,并定位到该注册表位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
    命令行:{DA1910DE-AA86-4ED0-874B-2924E38BAD99}
    打开资源管理器,并定位到该文件所在目录:
    产品名称:Microsoft? Windows? Operating System
    发行商:Microsoft Corporation
    文件版本:5.1.2600.0 (xpclient.010817-1148)
    影响范围:所有用户
    描述:Microsoft? Windows? Operating System
    建议:无


尝试删除,无效,开机又有,通过微点的木马日志,查出,除生成上述注册表项外,还在system32下生成D9DX.DLL和隐藏文件D3D8XOF.DLL,去安全模式下也会自动加载DirectX项,D3D8XOF.DLL可删除,D9DX.DLL无法删掉,怀疑线程插入explorer.exe,利用冰刃强制删除,发现HKEY_USERS\S-1-5-21-3188227004-2223665630-3201159491-500\Software\Microsoft\Search Assistant\ACMru 5603 5604 下D3D8XOF.DLL D3D8XOF.DLL,删除ACMru全部,及HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DA1910DE-AA86-4ED0-874B-2924E38BAD99}\InprocServer32  下 D3D8XOF.DLL。
重启,发现依然全部又自动生成,多次试之,发现即使在安全模式下删掉,他们,不重启的话,过会又自动出现。

郁闷之极,终于决定GHOST还原到以前的备份,可GHOST完后发现,竟然还在,怀疑机子上EXE文件全被感染。

不想全格,本人菜鸟一个,凭自己的经验只能做到如此,请教各位达人们,如何彻底删除此病毒,并让感染的EXE程序全部恢复,不然即使杀掉,一运行EXE程序,又会遭殃。

由于本人用锐捷通过校园网上网,病毒感染破坏锐捷文件的话。我会被网络中心自动拉到黑名单无法上网,所以一定请各位达人赐教。不胜感激。。。。。。
作者: segourigh     时间: 2007-5-21 18:47
你的临时文件夹是否设在其他盘了?有些ghost系统会转移你的临时文件夹,找到删除再ghost还原看看
作者: dazhongwyz     时间: 2007-5-21 18:52
没有,我现在很确定,所有EXE均被感染。
作者: segourigh     时间: 2007-5-21 19:03
所有EXE均被感染?不会是威金吧?
作者: y0365     时间: 2007-5-21 19:06
没办法了 微点已经拦截 你加可信 等微点出扫描功能就不怕了
作者: dazhongwyz     时间: 2007-5-21 19:10
上网查得此病毒具体描述如下,但未找到解决办法,希望有能力者帮之。

Win32.Spy
这是一个windows平台的感染型病毒,感染.exe可执行文件,该病毒会收集用户系统相关信息并提交到制定的网址。

1、释放病毒文件到如下路径并设置其属性为系统、隐藏、只读:
%system%\d9dx.dll
%system%\d3d8xof.dll

2、修该注册表,添加如下注册表项:


(Default) = "C:\WINDOWS\system32\d3d8xof.dll"


ThreadingModel = "Apartment"


DirectX = "{DA1910DE-AA86-4ED0-874B-2924E38BAD99}"


CheckBKFlags = 随机值

3、创建如下互斥体:
ACPI#PNPDODO#1#Amd_DL5
__DL5XYEX__
__DL_CORE5_MUTEX__

4、搜索explorer.exe进程并注入,创建两个病毒线程:

线程1:
a、创建浏览器进程,注入病毒代码,收集用户信息,提交到如下网址之一:
h**p://me**age.microsofte.in/counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d
h**p://www.im**0rldwide.com/DL/Counter.asp?action=post&HD=%s&HN=%s&OT=%d&IV=%s&MM=%d

b、从入下网址之一读取配置信息,自更新文件:
h**p://www.im**0rldwide.com/DL/1.dat
h**p://me**age.microsofte.in/updata.dlm

线程2:遍历磁盘,感染文件名中含有.exe的可执行文件,但不感染符合如下条件的文件:
路径中含有如下字符串:
\QQ
:\WINNT\
:\WINDOWS\
LOCAL SETTINGS\TEMP\

文件名包含在如下列表中的文件:
zhengtu.exe
audition.exe
kartrider.exe
nmservice.exe
ca.exe
nmcosrv.exe
nsstarter.exe
maplestory.exe
neuz.exe
zfs.exe
gc.exe
mts.exe
hs.exe
mhclient-connect.exe
dragonraja.exe
nbt-dragonraja2006.exe
wb-service.exe
game.exe
xlqy2.exe
sealspeed.exe
asktao.exe
dbfsupdate.exe
autoupdate.exe
dk2.exe
main.exe
userpic.exe
zuonline.exe
config.exe
mjonline.exe
patcher.exe
meteor.exe
cabalmain.exe
cabalmain9x.exe
cabal.exe
au_unins_web.exe
大话西游.exe
xy2.exe
flyff.exe
xy2player.exe
trojankiller.exe
patchupdate.exe
ztconfig.exe
woool.exe
wooolcfg.exe
作者: segourigh     时间: 2007-5-21 19:17
http://vi.duba.net/index.php?CODE=02&virusid=38964这是病毒信息,头疼,还不能用杀软直接杀,否则你的可执行文件就全完了
作者: dazhongwyz     时间: 2007-5-21 19:24
各位斑竹达人们,救救我吧~!!!!!



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn