【病毒】autorun.inf and w.cmd



贊助商連結


頁 : [1] 2

windata
2008-07-08, 10:56 PM
這是我朋友的電腦目前所中的病毒與目前狀況
一.工作管理員看不出異常
二.Rootkit Unhooker 找不到鎖定的隱藏程序在執行中
三.掃毒軟體 NOD32 3.0xxx 並沒有掛掉,但啥東西都掃不到… srO
四.Panda 可以掃到
16 個弱點? vulnerabilities
5 個可疑的檔案
615 個受感染的檔案
五.System32 的 Drivers 裡面找不到
srosa.sys / hldrrr.exe / mdelk.exe / wintem.exe
六.隱藏資料夾與系統檔案顯示不能(同樣的被綁架了

=====================
一.請問有沒有人有經驗處理這樣的病毒與狀況呢?
二.準備使用重灌大法
三.不良的使用習慣會...害死我們這些永久性義務大愛免費勞工的 ...srO

以上!

=====================
經過十秒鐘之後…找到 jvvo.exe 與 kxvo.exe
經過查找…原來是新變種 kXvo 真是層出不窮啊…
繼續解毒中...

以下是附件的掃毒結果,附檔名均已改成 .bak 了,有興趣的可以外帶回家吃吃看

autorun.inf


AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;-
Authentium;5.1.0.4;2008.07.07;-
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;Worm/AutoRun
BitDefender;7.2;2008.07.08;-
CAT-QuickHeal;9.50;2008.07.08;-
ClamAV;0.93.1;2008.07.08;Inf.Suspect-1
DrWeb;4.44.0.09170;2008.07.08;-
eSafe;7.0.17.0;2008.07.08;-
eTrust-Vet;31.6.5936;2008.07.08;INF/Frethog
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;-
F-Secure;7.60.13501.0;2008.07.08;BAT/AutoRun.AE
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;-
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;BAT/AutoRun.AE
Panda;9.0.0.4;2008.07.08;-
Prevx1;V2;2008.07.08;-
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/AutoInf-A
Sunbelt;3.1.1509.1;2008.07.04;INF.Autorun (v)
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;Trojan/Small.autorun
TrendMicro;8.700.0.1004;2008.07.08;-
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;-
Webwasher-Gateway;6.6.2;2008.07.08;-


w.cmd


AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;TR/Vundo.Gen
Authentium;5.1.0.4;2008.07.07;W32/Onlinegames.gen
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;-
BitDefender;7.2;2008.07.08;Packer.Malware.NSAnti
CAT-QuickHeal;9.50;2008.07.08;(Suspicious) - DNAScan
ClamAV;0.93.1;2008.07.08;-
DrWeb;4.44.0.09170;2008.07.08;modification of Win32.Besso
eSafe;7.0.17.0;2008.07.08;Suspicious File
eTrust-Vet;31.6.5937;2008.07.08;-
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;W32/Onlinegames.gen
F-Secure;7.60.13501.0;2008.07.08;-
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;PWS:Win32/Frethog.gen!L
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;-
Panda;9.0.0.4;2008.07.08;Suspicious file
Prevx1;V2;2008.07.08;Cloaked Malware
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/EncPk-CE
Sunbelt;3.1.1509.1;2008.07.04;Packed.Win32.NSAnti.e
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;-
TrendMicro;8.700.0.1004;2008.07.08;PAK_Generic.005
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway;6.6.2;2008.07.08;Trojan.Vundo.Gen


這個送去掃描好像有點多此一舉?
w.rar(包含 autorun.inf 與 w.cmd


AhnLab-V3;2008.7.8.0;2008.07.08;-
AntiVir;7.8.0.64;2008.07.08;TR/Vundo.Gen
Authentium;5.1.0.4;2008.07.07;W32/Onlinegames.gen
Avast;4.8.1195.0;2008.07.08;-
AVG;7.5.0.516;2008.07.08;Worm/AutoRun
BitDefender;7.2;2008.07.08;Packer.Malware.NSAnti
CAT-QuickHeal;9.50;2008.07.08;(Suspicious) - DNAScan
ClamAV;0.93.1;2008.07.08;Inf.Suspect-1
DrWeb;4.44.0.09170;2008.07.08;modification of Win32.Besso
eSafe;7.0.17.0;2008.07.08;Suspicious File
eTrust-Vet;31.6.5937;2008.07.08;-
Ewido;4.0;2008.07.08;-
F-Prot;4.4.4.56;2008.07.07;W32/Onlinegames.gen
F-Secure;7.60.13501.0;2008.07.08;BAT/AutoRun.AE
Fortinet;3.14.0.0;2008.07.08;-
GData;2.0.7306.1023;2008.07.08;-
Ikarus;T3.1.1.26.0;2008.07.08;-
Kaspersky;7.0.0.125;2008.07.08;-
McAfee;5333;2008.07.07;-
Microsoft;1.3704;2008.07.08;PWS:Win32/Frethog.gen!L
NOD32v2;3250;2008.07.08;-
Norman;5.80.02;2008.07.08;BAT/AutoRun.AE
Panda;9.0.0.4;2008.07.08;Suspicious file
Prevx1;V2;2008.07.08;Cloaked Malware
Rising;20.52.12.00;2008.07.08;-
Sophos;4.31.0;2008.07.08;Mal/EncPk-CE
Sunbelt;3.1.1509.1;2008.07.04;Packed.Win32.NSAnti.e
Symantec;10;2008.07.08;-
TheHacker;6.2.96.374;2008.07.07;Trojan/Small.autorun
TrendMicro;8.700.0.1004;2008.07.08;PAK_Generic.005
VBA32;3.12.6.8;2008.07.07;-
VirusBuster;4.5.11.0;2008.07.08;Trojan.Lineage.Gen!Pac.3
Webwasher-Gateway;6.6.2;2008.07.08;Trojan.Vundo.Gen

贊助商連結


ㄚ一
2008-07-09, 01:09 AM
[AutoRun]
open=w.cmd
shell\open\Command=w.cmd
shell\open\Default=1
shell\explore\Command=w.cmd


w.cmd (events: 19)
2008/7/9 上午 01:08:26 Placed in group High Restricted
2008/7/9 上午 01:08:26 Setting debug privileges Denied: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege
2008/7/9 上午 01:08:26 Modification C:\WINDOWS\system32\drivers\vga.sys Denied: KLSystemData/KLSystemFiles/Drivers
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo0.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo1.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo2.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo3.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo4.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo5.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo6.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo7.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo8.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:26 Create C:\WINDOWS\system32\jvvo9.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/9 上午 01:08:28 Modification hkey_users\S-1-5-21-796845957-220523388-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run Denied: KLSystemData/KLStartupRegKeys/Main_Run
2008/7/9 上午 01:08:38 Access to another process memory c:\windows\explorer.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLReadProcMem
2008/7/9 上午 01:08:52 Process start c:\windows\system32\dwwin.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc

再不行的話就用sreng來解毒

luznga
2008-07-09, 01:42 AM
1.先用下列方式修改,恢復能正常顯示隱藏功能
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden為1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue為1

2.檢查HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中有沒有可疑的檔案連結
3.搜尋autorun.inf及w.cmd並刪除(不要直接點選磁碟機)
4.再至系統(winnt/system32)/Temp/Driver目錄下找找看有沒有可疑或隱藏檔的執行檔

若嫌麻煩就去 卡巴\趨勢\賽門 網站找免費掃毒工具試試看摟~~

再不行就只有用重灌大法了:(

Donna
2008-07-09, 08:51 AM
如果你有檔案的資料和路徑,建議你試試看這樣處理
http://www.pczone.com.tw/thread/3/136449/ 討論串的 http://tw.myblog.yahoo.com/noname-team/ 下載的 XPPE光碟,作成光碟之後,從光碟開機。
直接進入你的 C 磁碟,刪除病毒檔案,然後再重新開機,進入系統之後,試試看是否可以恢復顯示隱藏檔案的功能(luznga 大大所提供的第一點方式) ,如果可以,請以防毒程式重新掃毒。

如果不行,表示系統中應該還有病毒存在。

even
2008-07-09, 09:22 AM
不知你有沒有試過這個

USB隨身碟蠕蟲病毒清除精靈 (http://www.google.com/search?hl=zh-TW&q=USB%E9%9A%A8%E8%BA%AB%E7%A2%9F%E8%A0%95%E8%9F%B2%E7%97%85%E6%AF%92%E6%B8%85%E9%99%A4%E7%B2%BE%E9%9D%88&btnG=Google+%E6%90%9C%E5%B0%8B&lr=)

之前也中過類似的,你試試...

Roger
2008-07-09, 08:07 PM
2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\Documents and Settings\Roger\Local Settings\Temp\gp.dll

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\WINDOWS\system32\jvvo.exe

2008-07-09 20:05:43 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
文件路径:C:\WINDOWS\system32\jvvo0.dll

2008-07-09 20:05:44 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表名称:jvsoft

2008-07-09 20:05:44 应用程序保护(修改其它进程内存) 操作:使用隔离区操作
进程路径:D:\桌面\virus\w\w.bak.exe
目标进程:C:\WINDOWS\Explorer.EXE


EQSandbox

不潔之力
2008-07-11, 11:21 AM
請參考看看~(最後一篇)
這是我的手動解毒的流程~
http://www.pczone.com.tw/thread/28/141231/3/

kavo~kxvo~tsao~jvvo都是一樣的解法~

windata
2008-07-11, 11:55 AM
謝謝各位的建議

目前…已經解的差不多了(手動
自己採用的步驟與『不潔之力 』差不多
不過…我覺得最奇怪的是『在執行中的程序中,竟然找不到隱藏的病毒』

attrib * -s -h -r
刪除之 = =+
run 裡刪除相關的 key... 諸如此類的

不潔之力
2008-07-12, 12:17 PM
謝謝各位的建議

目前…已經解的差不多了(手動
自己採用的步驟與『不潔之力 』差不多
不過…我覺得最奇怪的是『在執行中的程序中,竟然找不到隱藏的病毒』

attrib * -s -h -r
刪除之 = =+
run 裡刪除相關的 key... 諸如此類的

竟然找不到隱藏的病毒
↑是指工作管理員裡面看不到嗎?
看不到是正常的~

另外~dos指令也是沒多大用處~
在後面幾次的變種後~
我已經放棄用dos了~

windata
2008-07-13, 06:14 PM
並不是用 taskmgr
而是用 rootkit unhooker 去看的

指令至少是一種手段