遭遇网游盗号木马Trojan-PSW.Win32.OnLineGames等

endurer 原创
2007-04-02 第1版

昨天，一位网友说他的电脑中了病毒Trojan-PSW.Win32.OnLineGames.jj等，Kaspersky 6杀不了，让偶帮忙处理。

到他家时，他正在用Kaspersky 6全面扫描，发现一些病毒，弹出询问提示框，还没等我们选择处理方式，就关闭了。
扫描完成后，系统自动重启。

选择带网络连接的安全模式，启动Kaspersky 6，导出查杀记录如下：
/---
007-4-1 12:52:50 文件 C:/SysWsj7/Ghook.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.jj
2007-4-1 12:52:51 文件 C:/SysWsj7/Ghook.dll: 未清除, 被用户跳过
2007-4-1 12:52:51 文件 C:/Syswm1i/Ghook.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:52:51 文件 C:/Syswm1i/Ghook.dll: 未清除, 被用户跳过
2007-4-1 12:52:52 文件 C:/DOCUME~1/rd/LOCALS~1/Temp/LgSy0.dll/UPX: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.ky
2007-4-1 12:52:53 文件 C:/DOCUME~1/rd/LOCALS~1/Temp/LgSy0.dll/UPX: 未清除, 被用户跳过
2007-4-1 12:52:58 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:52:58 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:52:59 文件 c:/windows/wsttrs.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:00 文件 c:/windows/wsttrs.exe: 未清除, 被用户跳过
2007-4-1 12:53:01 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:02 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:04 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:04 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:05 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:05 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:10 文件 c:/syswm1i/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf2007-4-1 12:53:10 文件 c:/syswm1i/svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:10 文件 c:/systx4/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf2007-4-1 12:53:11 文件 c:/systx4/svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:11 文件 c:/syswsj7/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf2007-4-1 12:53:11 文件 c:/syswsj7/svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:28 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:28 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:32 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:33 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:34 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:35 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:48 文件 C:/WINDOWS/wsttrs.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:48 文件 C:/WINDOWS/wsttrs.exe: 未清除, 被用户跳过
2007-4-1 12:53:49 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:49 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 12:53:49 文件 C:/Syswm1i/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf2007-4-1 12:53:49 文件 C:/Syswm1i/svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:51 文件 C:/SysTx4/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:51 文件 C:/SysTx4/svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:51 文件 C:/SysWsj7/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 12:53:52 文件 C:/SysWsj7/svchost.exe: 未清除, 被用户跳过
2007-4-1 12:53:55 文件 C:/WINDOWS/system32/wsttrs.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 12:53:55 文件 C:/WINDOWS/system32/wsttrs.dll: 未清除, 被用户跳过
2007-4-1 13:25:25 已经检测到安全威胁。建议您立即处理它们。
2007-4-1 13:25:35 文件 c:/windows/wsttrs.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.es
2007-4-1 13:25:35 文件 c:/windows/wsttrs.exe: 未清除, 推迟
2007-4-1 13:26:01 文件 c:/syswm1i/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 13:26:01 文件 c:/syswm1i/svchost.exe: 未清除, 推迟
2007-4-1 13:26:01 文件 c:/systx4/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf2007-4-1 13:26:01 文件 c:/systx4/svchost.exe: 未清除, 推迟
2007-4-1 13:26:01 文件 c:/syswsj7/svchost.exe: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.mf
2007-4-1 13:26:01 文件 c:/syswsj7/svchost.exe: 未清除, 推迟
---/

看到wsttrs.exe，觉得与中了Viking相似，打开Maxthon准备下载pe_xscan，居然出错……
打开资源管理器，到江民网站下载并运行熊猫烧香专杀工具，果然发现并清除了几个病毒……

再用Kaspersky扫描，全部查杀……

下载pe_xscan扫描 log，并用网页进行分析，发现如下可疑项：

/---
pe_xscan 07-03-17 by Purple Endurer
2007-4-1 12:56:24
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO  - {C64E4E3D-AAA0-4081-B6A7-22A40AFBFD35} - C:/WINDOWS/system32/rs.obj

O4 - HKCR/../Run: [4hxdww36r] C:/DOCUME~1/user/LOCALS~1/Temp/rundl132.exe
O4 - HKCR/../Run: [d7y2j8c2xj09c] C:/DOCUME~1/user/LOCALS~1/Temp/iexpl0re.exe
O4 - HKCR/../Policies/Explorer/Run: [333] C:/Syswm1i/svchost.exe
O4 - HKCR/../Policies/Explorer/Run: [tx] C:/SysTx4/svchost.exe
O4 - HKCR/../Policies/Explorer/Run: [4] C:/SysWsj7/svchost.exe

O4 - HKLM/../Run: [wsttrs] C:/WINDOWS/wsttrs.exe

O23 - 服务: aejghiih (aejghiih) - C:/WINDOWS/system32/drivers/aejghiih.sys(系统)
O23 - 服务: afecehah (afecehah) - C:/WINDOWS/system32/drivers/afecehah.sys(系统)
O23 - 服务: ajghfhfc (ajghfhfc) - C:/WINDOWS/system32/drivers/ajghfhfc.sys(系统)
O23 - 服务: ajhjiicj (ajhjiicj) - C:/WINDOWS/system32/drivers/ajhjiicj.sys(系统)
O23 - 服务: ajjbfbhc (ajjbfbhc) - C:/WINDOWS/system32/drivers/ajjbfbhc.sys(系统)

O23 - 服务: bababeid (bababeid) - C:/WINDOWS/system32/drivers/bababeid.sys(系统)
O23 - 服务: bbjgcadd (bbjgcadd) - C:/WINDOWS/system32/drivers/bbjgcadd.sys(系统)
O23 - 服务: bgcefdad (bgcefdad) - C:/WINDOWS/system32/drivers/bgcefdad.sys(系统)
O23 - 服务: bghfbifc (bghfbifc) - C:/WINDOWS/system32/drivers/bghfbifc.sys(系统)
O23 - 服务: bjdjaehj (bjdjaehj) - C:/WINDOWS/system32/drivers/bjdjaehj.sys(系统)
O23 - 服务: cabgbgdg (cabgbgdg) - C:/WINDOWS/system32/drivers/cabgbgdg.sys(系统)
O23 - 服务: cdhcjiig (cdhcjiig) - C:/WINDOWS/system32/drivers/cdhcjiig.sys(系统)
O23 - 服务: cejcgacb (cejcgacb) - C:/WINDOWS/system32/drivers/cejcgacb.sys(系统)
O23 - 服务: cgfcdege (cgfcdege) - C:/WINDOWS/system32/drivers/cgfcdege.sys(系统)

O23 - 服务: ClipArt (System Administrator) - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/mssapi.dll(自动)

O23 - 服务: daadcdhg (daadcdhg) - C:/WINDOWS/system32/drivers/daadcdhg.sys(系统)
O23 - 服务: dacihabb (dacihabb) - C:/WINDOWS/system32/drivers/dacihabb.sys(系统)
O23 - 服务: dafecjbi (dafecjbi) - C:/WINDOWS/system32/drivers/dafecjbi.sys(系统)
O23 - 服务: dagjgidg (dagjgidg) - C:/WINDOWS/system32/drivers/dagjgidg.sys(系统)
O23 - 服务: dbafijjb (dbafijjb) - C:/WINDOWS/system32/drivers/dbafijjb.sys(系统)
O23 - 服务: ddfedbff (ddfedbff) - C:/WINDOWS/system32/drivers/ddfedbff.sys(系统)
O23 - 服务: dfceeghb (dfceeghb) - C:/WINDOWS/system32/drivers/dfceeghb.sys(系统)
O23 - 服务: dgdgehec (dgdgehec) - C:/WINDOWS/system32/drivers/dgdgehec.sys(系统)
O23 - 服务: dhdidccf (dhdidccf) - C:/WINDOWS/system32/drivers/dhdidccf.sys(系统)
O23 - 服务: dihhdegj (dihhdegj) - C:/WINDOWS/system32/drivers/dihhdegj.sys(系统)
O23 - 服务: eghhefja (eghhefja) - C:/WINDOWS/system32/drivers/eghhefja.sys(系统)
O23 - 服务: fafdedai (fafdedai) - C:/WINDOWS/system32/drivers/fafdedai.sys(系统)
O23 - 服务: fcaacjfg (fcaacjfg) - C:/WINDOWS/system32/drivers/fcaacjfg.sys(系统)
O23 - 服务: fcfbhieb (fcfbhieb) - C:/WINDOWS/system32/drivers/fcfbhieb.sys(系统)
O23 - 服务: fcfdhbje (fcfdhbje) - C:/WINDOWS/system32/drivers/fcfdhbje.sys(系统)
O23 - 服务: fdjiibej (fdjiibej) - C:/WINDOWS/system32/drivers/fdjiibej.sys(系统)
O23 - 服务: fejfecca (fejfecca) - C:/WINDOWS/system32/drivers/fejfecca.sys(系统)
O23 - 服务: fgjecjib (fgjecjib) - C:/WINDOWS/system32/drivers/fgjecjib.sys(系统)
O23 - 服务: gafdbgfi (gafdbgfi) - C:/WINDOWS/system32/drivers/gafdbgfi.sys(系统)
O23 - 服务: gbdjiihc (gbdjiihc) - C:/WINDOWS/system32/drivers/gbdjiihc.sys(系统)
O23 - 服务: gfjdjggi (gfjdjggi) - C:/WINDOWS/system32/drivers/gfjdjggi.sys(系统)
O23 - 服务: hacjeihb (hacjeihb) - C:/WINDOWS/system32/drivers/hacjeihb.sys(系统)
O23 - 服务: hcfcjeef (hcfcjeef) - C:/WINDOWS/system32/drivers/hcfcjeef.sys(系统)
O23 - 服务: heabeejj (heabeejj) - C:/WINDOWS/system32/drivers/heabeejj.sys(系统)
O23 - 服务: heefjecd (heefjecd) - C:/WINDOWS/system32/drivers/heefjecd.sys(系统)
O23 - 服务: heeghdif (heeghdif) - C:/WINDOWS/system32/drivers/heeghdif.sys(系统)
O23 - 服务: hefceagi (hefceagi) - C:/WINDOWS/system32/drivers/hefceagi.sys(系统)
O23 - 服务: hfdjibij (hfdjibij) - C:/WINDOWS/system32/drivers/hfdjibij.sys(系统)
O23 - 服务: hgahecag (hgahecag) - C:/WINDOWS/system32/drivers/hgahecag.sys(系统)
O23 - 服务: ibfgedig (ibfgedig) - C:/WINDOWS/system32/drivers/ibfgedig.sys(系统)
O23 - 服务: idadigbd (idadigbd) - C:/WINDOWS/system32/drivers/idadigbd.sys(系统)
O23 - 服务: iejdecgb (iejdecgb) - system32/drivers/iejdecgb.sys(引导)
O23 - 服务: igghebdb (igghebdb) - C:/WINDOWS/system32/drivers/igghebdb.sys(系统)

O23 - 服务: jabebafa (jabebafa) - C:/WINDOWS/system32/drivers/jabebafa.sys(系统)
O23 - 服务: jacdbidg (jacdbidg) - C:/WINDOWS/system32/drivers/jacdbidg.sys(系统)
O23 - 服务: jaiajbbe (jaiajbbe) - C:/WINDOWS/system32/drivers/jaiajbbe.sys(系统)
O23 - 服务: jchggedh (jchggedh) - C:/WINDOWS/system32/drivers/jchggedh.sys(系统)
O23 - 服务: jdccjadf (jdccjadf) - C:/WINDOWS/system32/drivers/jdccjadf.sys(系统)
O23 - 服务: jffbdggd (jffbdggd) - C:/WINDOWS/system32/drivers/jffbdggd.sys(系统)
O23 - 服务: jffbiaii (jffbiaii) - C:/WINDOWS/system32/drivers/jffbiaii.sys(系统)
O23 - 服务: jhbgchcg (jhbgchcg) - C:/WINDOWS/system32/drivers/jhbgchcg.sys(系统)
O23 - 服务: jjeeceic (jjeeceic) - C:/WINDOWS/system32/drivers/jjeeceic.sys(系统)
O23 - 服务: New0 (New0) - C:/WINDOWS/System32/new.sys | 2005-5-4 0:55:22(自动)

O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 23 | npf | Copyright ? 1999-2004 | 3, 1, 0, 23 | NetGroup - Politecnico di Torino |  | NPF + TME  | npf.sys(手动)

O23 - 服务: UpdateService (UpdateService) - C:/WINDOWS/system32/UpdateService.exe(禁用)

O23 - 服务: VIPTray (VIPTray) - C:/WINDOWS/System32/VIPTray.exe(禁用)
---/

到 ​​http://endurer.ys168.com​​ 下载HijackThis进行修复。

其中

O4 - HKCR/../Policies/Explorer/Run: [333] C:/Syswm1i/svchost.exe
O4 - HKCR/../Policies/Explorer/Run: [tx] C:/SysTx4/svchost.exe
O4 - HKCR/../Policies/Explorer/Run: [4] C:/SysWsj7/svchost.exe

HijackThis 1.99.1 不能修复，可以用瑞星卡卡安全助手来取消。

近期发现不少病毒会搜索Kaspersky、瑞星发现病毒后的询问提示窗口，并模拟发送按键来取消或跳过查杀。

所以最好把杀毒软件发现病毒时的设置方式设置为直接清除。