微点交流论坛

标题: backdoor.win32.hupigon.sy木马怎么杀不了？ [打印本页]

作者: lanjun 时间: 2006-8-11 23:21 标题: backdoor.win32.hupigon.sy木马怎么杀不了？

时间处理结果木马名称木马进程名木马文件创建者
2006-08-11 22:59:41 用户取消未知木马 C:\WINNT\WEBWORK\WEBWORK.NLS
2006-08-11 22:52:49 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.NLS C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:52:49 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:42:59 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.NLS C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:42:59 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:18:17 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.NLS C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:18:17 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:10:29 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.NLS C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-11 22:10:29 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\WEBWORK\WEBWORK.DLL
2006-08-10 07:27:53 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\SYSTEM32\ALSMT.EXE C:\PROGRAM FILES\MMSASSIST\ALBUS.DLL
2006-08-10 07:27:52 删除木马文件失败 Backdoor.Win32.Hupigon.sy C:\PROGRAM FILES\MMSASSIST\ALBUS.DLL
2006-08-10 07:27:39 处理成功 Backdoor.Win32.Hupigon.sy C:\WINNT\SYSTEM32\DRIVERS\ALBUS.SYS C:\PROGRAM FILES\MMSASSIST\ALBUS.DLL
2006-08-10 07:27:38 删除木马文件失败 Backdoor.Win32.Hupigon.sy C:\PROGRAM FILES\MMSASSIST\ALBUS.DLL
2006-08-09 11:41:10 处理成功未知木马 C:\WINNT\TEMP\INSTALL.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2006-08-09 11:30:41 处理成功未知木马 C:\WINNT\TEMP\INSTALL.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2006-08-09 11:26:49 处理成功未知木马 C:\PROGRAM FILES\BAIGOO\UNINST.EXE C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:49 处理成功未知木马 C:\PROGRAM FILES\BAIGOO\BGOOBHO.DLL C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:48 处理成功未知木马 C:\PROGRAM FILES\BAIGOO\BGOOEX.DLL C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:42 处理成功未知木马 C:\PROGRAM FILES\BAIGOO\BGOOK.DLL C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:42 杀木马失败未知木马 C:\PROGRAM FILES\BAIGOO\BGOOMAIN.EXE C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:41 处理成功未知木马 C:\PROGRAM FILES\BAIGOO\BGOOHK.DLL C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:38 处理成功未知木马 C:\PROGRAM FILES\BAIGOO\PLUGIN\BGOOBAR\BGOOBAR.DLL C:\WINNT\TEMP\INSTALL.EXE
2006-08-09 11:26:36 处理成功未知木马 C:\WINNT\TEMP\INSTALL.EXE C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
以上是木马日志！请高手指点指点该怎么杀这个Backdoor.Win32.Hupigon.sy

作者: Legend 时间: 2006-8-11 23:25
请把这个程序文件发到我们的邮箱：virus@micropoint.com.cn
另外：建议用户在微点准确判定为病毒并弹出报警框时请不要取消，谢谢。

作者: lanjun 时间: 2006-8-11 23:48
已经发过去了请帮我处理下拜谢！

作者: Legend 时间: 2006-8-11 23:52
谢谢您提供的信息，我们会做进一步的测试分析。

作者: paopaogege 时间: 2006-8-15 00:21
杀毒软件定义为Backdoor.Win32.Hupigon.sy
彩信通安装目录里第一个文件夹有个.ini文件，它自动从http://update.borlander.cn/updmms/mmsass.cab下载插件包，包里有albus.dll文件，UPX 0.80 - 1.24的壳，脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中，开机就在后台自动运行
安全模式下，右键我的电脑－管理－服务－禁用jmediaservice服务，删除C:\windows\system32下的Albus.DAT，删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS，删除彩信通的安装文件夹，开始－运行－regedit-查找所有MMSAssist并删除，如果怕注册表还有彩信通的垃圾存在，下载个HijackThis扫下注册表再一一删除。

作者: paopaogege 时间: 2006-8-15 00:23
不知道LZ说的是不是这个呵呵...如果搞不定也许可以找我帮帮忙...哈哈

作者: lanjun 时间: 2006-8-15 20:52
谢谢paopaogege
我这就试试看！

作者: lanjun 时间: 2006-8-15 23:37
终于可以松口气了！
使用兔子先把MMSAssist卸载！但是一开机微点还是提示发现未知木马衍生物C:\WINNT\WEBWORK\WEBWORK.NLS ，头疼中……
首先使用paopaogege兄提供的方法但未找到Albus.DAT和Albus.SYS。此时想起微点的“程序生成日志”在里不难看出其罪魁祸首是一个名为C：\~DE1.TMP的文件，但在C盘根目录下未找到~DE1.tmp 看来幕后真凶凭我这种非专业人士是找不到的了（怀疑为远程攻击，这个文件是由那边控制生成的
仔细想想，他要利用到~DE1.tmp 这个文件我就在这里建立一个 ~DE1.tmp 占着这个文件名不给他生成并把其设置为只读，重新启动。微点没有报毒！在查C:\WINNT下未生成WEBWORK文件夹，一切搞定！

在次特别感谢各位的帮助。尤其微点管理员383154254和paopaogege兄的帮助，希望以后能再多多指教！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn