首页 > 其他分享 >强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

时间:2022-11-22 17:02:38浏览次数:83  
标签:ft Settings WINDOWS system32 DLL Win32 FireFox 2008


强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等

endurer 原创
2008-01-25 第1版

前几天,一位网友说最近他的电脑中的金山毒霸天天报告发现病毒,而且IE出现与

遭遇sqmapi32.dll,kvmxfma.dll,rarjdpi.dll,google.dll,a0b1.dll等 ​

强行推荐FireFox的Adware.Win32.Admoke.fg、RootKit.Win32.Mnless.ft等_firefox

相似的症状,即不定期弹广告窗口,打开任意网页顶都可能出现推荐FireFox的信息,让偶帮忙检修。

先检查金山毒霸的杀毒日志,摘录一段如下:

/---
风险程序 2008-01-19 14:51:36 C:/WINDOWS/system32/wbem/knqtybe0.dll Win32.Adware.AdMoke.js.604672 跳过,未处理
风险程序 2008-01-19 14:51:36 C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLL Win32.Adware.MoKeADT.of.870400 跳过,未处理
风险程序 2008-01-19 14:51:36 c:/windows/system32/azagxmbtwehqj.dll Win32.Adware.ejok.g.584192 跳过,未处理
风险程序 2008-01-19 14:51:36 c:/windows/system32/ebbaozknpdtis.dll Win32.Adware.ejok.g.584192 跳过,未处理
风险程序 2008-01-19 14:51:36 c:/windows/system32/OSWAEHKOS.DLL Win32.Adware.Admoke.fg.574976 跳过,未处理
风险程序 2008-01-19 14:51:36 c:/windows/system32/rxjh_2.exe Win32.Adware.Adloader.m.106496 跳过,未处理
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/KNQTYBE.DLL Win32.Adware.AdMoke.js.604672 跳过,未处理
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLL Win32.Adware.MoKeADT.of.870400 跳过,未处理
风险程序 2008-01-18 12:27:46 c:/windows/system32/OSWAEHKOS.DLL Win32.Adware.Admoke.fg.574976 跳过,未处理
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/KNQTYBE.DLL Win32.Adware.AdMoke.js.604672 操作失败
风险程序 2008-01-18 12:27:46 C:/WINDOWS/system32/wbem/TXAEILOTWZC.DLL Win32.Adware.MoKeADT.of.870400 操作失败
风险程序 2008-01-18 12:27:46 c:/windows/system32/OSWAEHKOS.DLL Win32.Adware.Admoke.fg.574976 操作失败
---/

同时发现网友的电脑无法进行复制/粘贴操作,晕!

先到 ​​http://endurer.ys168.com​​​ 下载 HijackThis 来分析罢,在 HijackThis 的log中发现如下可疑项:
/---
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:19:58, on 2008-1-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

O2 - BHO: google Class - {CE7C3CF0-4B15-11D1-ABED-709549C10531} - C:/WINDOWS/ILOVEG~1/google.dll
O2 - BHO: (no name) - {F89D750D-BDBB-4B04-B893-F2F228138F5F} - C:/WINDOWS/system32/doqeuraqsr.dll

O4 - HKCU/../Run: [PictureShow] "d:/program files/PictureShow/poco_tools.exe" -p PictureShow
O4 - HKCU/../Run: [PICer] "d:/program files/PICer/poco_tools.exe" -p PICer

O4 - HKLM/../Policies/Explorer/Run: [zhqbdf] rundll32.exe C:/WINDOWS/system/zhqbdf080116.dll mymain
O4 - HKLM/../Policies/Explorer/Run: [zsms] rundll32.exe C:/WINDOWS/system32/mcdsrv16_080119.dll start

O18 - Filter hijack: text/html - {CF845CF8-833D-4F3E-9579-8944159650A6} - C:/WINDOWS/system32/wbem/KNQTYBE.DLL
---/

关闭所有IE和文件夹窗口,修复~

到 ​​http://purpleendurer.ys168.com​​ 下载 FileInfo、bat_do对log中的可疑文件、毒霸报告但未清除的病毒文件的进行信息提取、打包和延时删除。

下载 DrWeb CureIt! 扫描,又发现并清除一批恶意程序。

重启电脑后,金山毒霸还是提示发现病毒……不过复制/粘贴功能恢复正常了。

用机子中原有的360卫士扫描,又十年干掉了两个恶意程序。

下载pe_xscan 扫描了 log 并分析,发现如下可疑项:
/===
pe_xscan 08-01-19 by Purple Endurer
2008-1-20 22:45:17
Windows XP Service Pack 2(5.1.2600)
管理员用户组


 

C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 364
   C:/WINDOWS/SYSTEM32/OSWAEHKOS.DLL | 2007-10-1 11:46:2
C:/WINDOWS/SYSTEM32/SVCHOST.EXE* 1072
   C:/WINDOWS/SYSTEM32/WBEM/TXAEILOTWZC.DLL |

O23 - 服务: 2HRHUZB (2HRHUZB) -  SYSTEM32/DRIVERS/2HRHUZB.SYS (引导)
O23 - 服务: DWSHD () - C:/WINDOWS/SYSTEM32/DRIVERS/DWSHD.SYS (禁用)
O23 - 服务: NVCJRYFMT (EMVDMUCKSAIQYFO) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K VHTFSCNXITD -> C:/WINDOWS/SYSTEM32/OSWAEHKOS.DLL | 2007-10-1 11:46:2(自动)
O23 - 服务: TWBFJMQUYCF (YBFJNRUYBGKNS) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K DHKOSWADHLOSXB -> C:/WINDOWS/SYSTEM32/WBEM/TXAEILOTWZC.DLL | 2007-9-27 23:37:46(自动)
O23 - 服务: V8360NUJ1 (V8360NUJ1) -  SYSTEM32/DRIVERS/V8360NUJ1.SYS (引导)
O23 - 服务: W32TIME (WINDOWS TIME) - C:/WINDOWS/SYSTEM32/SVCHOST.EXE -K NETSVCS -> C:/WINDOWS/SYSTEM32/WBEM/KIPQNFVNX.DLL (自动)
===/


DWSHD.SYS 很可能是之前使用的 DrWeb CureIt! 释放的东东

Google了一下,在​​http://spywaredlls.prevx.com/RRIHDC43518690/DWSHD.SYS.html​​有如下说明:

Common File Name: DWSHD.SYS
Common Path: %TEMP%/RARSFX2/
Vendor Information: DrWeb Ltd.
Product Information: Dr.Web BruteForce driver
Version Information: 4.44.0.0
File Name Structure: Normal
File and Path Structure: Normal

还是用FileInfo、bat_do进行可疑文件的信息提取、打包和延时删除。

不过 2HRHUZB.SYS 无法操作,到 ​​http://endurer.ys168.com​​ 下载 IceSword,将它复制了一个打包备份后强制删除。

到 ​​http://endurer.ys168.com​​ 下载 瑞星杀毒助手Aide4Rav,使用瑞星在线免费扫描,结果如下:

2008-1-21 21:39:24 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
c:/windows/winudmp32.txt>>Aspack212r AdWare.Win32.Admoke.wcf
C:/WINDOWS/my_70338.exe Trojan.DL.Win32.Mnless.qp
C:/WINDOWS/tempaq Trojan.Win32.Undef.bpj
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/FKY8WICN/real[1].htm Hack.Exploit.Script.Small.g
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/C5I7CR8X/14[1].htm Trojan.DL.Script.JS.Agent.mav
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/C5I7CR8X/real[1].htm Hack.Exploit.Script.Small.ae
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/MVMXMRIT/06014[1].htm Trojan.DL.Script.Small.m
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/MVMXMRIT/dm[1].htm Hack.Exploit.Script.Small.aj
C:/Documents and Settings/NetworkService/Local Settings/Temporary Internet Files/Content.IE5/CF8VI5EH/614[1].htm Hack.Exploit.Script.Small.ak
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/yeSetup.exe Dropper.Win32.Agent.zbx
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/up.exe Trojan.Win32.Agent.vsw
c:/documents and settings/lenovo/doctorweb/quarantine/zhqb080116.exe>>upack0.36 Trojan.Win32.Undef.bqd
C:/Documents and Settings/lenovo/DoctorWeb/Quarantine/zhqbdf080116.#ll Trojan.Win32.KillAV.gfk

都用瑞星杀毒助手删除了。

打开注册表编辑器,删除O23的项目。

再次重启电脑,毒霸不再报告发现病毒了~

文件说明符 : C:/Windows/system32/wbem/TXAEILOTWZC.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-27 23:37:45
修改时间 : 2007-9-27 23:37:46
访问时间 : 2008-1-20 0:0:0
大小 : 1348096 字节 1.292 MB
MD5 : 03e1dfbc2bbfb4488364362e52a8fe36
SHA1: 25E83A402B7F5B8CA1B7C8EC07A86E37561E270F
CRC32: 62d46428

Kapsersky 报为 not-a-virus:AdWare.Win32.AdMoke.iu,瑞星报为 AdWare.Win32.Admoke.wck

文件说明符 : C:/Windows/system32/OSWAEHKOS.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-1 11:46:1
修改时间 : 2007-10-1 11:46:2
访问时间 : 2008-1-20 0:0:0
大小 : 574976 字节 561.512 KB
MD5 : cce5c15dc6b2c9d3ff3fc021e80d098e
SHA1: 36970B51D306F9DA24FE61945716C147881D300D
CRC32: 790bd6f4

Kapsersky 报为 not-a-virus:AdWare.Win32.AdMoke.oe,瑞星报为 Adware.Win32.Admoke.fg

文件说明符 : D:/test/2hrhuzb.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-25 21:38:16
修改时间 : 2008-1-21 21:23:16
访问时间 : 2008-1-25 0:0:0
大小 : 24512 字节 23.960 KB
MD5 : 66131e73690f2e2c3b618448fc7e7760
SHA1: FE39A85F838FB722E74CB11E6A5DB389817B55B3
CRC32: cff8780b

Kapsersky 报为 Trojan-Downloader.Win32.Hmir.rn,瑞星报为 RootKit.Win32.Mnless.ft

标签:ft,Settings,WINDOWS,system32,DLL,Win32,FireFox,2008
From: https://blog.51cto.com/endurer/5878244

相关文章