剛剛在測試OSO.exe病毒的時候發生意外

發表時間: 2008-2-09 00:41 作者: krichard2007 來源: AVPClub Security Home

我剛剛要測試 OSO.exe
發生意外....
我無法刪除D:\WINDOWS\System32\servere.exe
D:\WINDOWS\System32\mdngfh.exe
我按工作管理員....
關掉它一直出現....
根本就關不掉.....
然後一直出現
autorun.inf
OSO.exe
和一些亂碼程式.exe .pif.....

另外附加樣本.....
SREng報表在下面...附件的地方...

OSO.rar
(2008-02-09 00:41:21, Size: 30.3 kB, Downloads: 10)

笭猁訧蹋.rar
(2008-02-09 00:41:21, Size: 30.4 kB, Downloads: 5)

藝躓蚔牁.rar
(2008-02-09 00:41:21, Size: 30.4 kB, Downloads: 5)

SREngLOG.rar
(2008-02-09 00:41:21, Size: 7.93 kB, Downloads: 4)

我也來說兩句 查看全部評論相關評論

a750828 (2008-2-09 00:46:11)

McAfee PWS-QQRob
TROJ_DELF.IQ (Trend)
Trojan-PSW.Win32.QQRob.13 (Kaspersky)
Win32.QQRob.C(CA)

[ 本帖最後由 a750828 於 2008-2-9 00:49 編輯 ]
upside (2008-2-09 00:51:12)

<qpoenl><D:\WINDOWS\System32\mdngfh.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe D:\WINDOWS\System32\severe.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1DBD6574-D6D0-4782-94C3-69619E719765}><D:\WINDOWS\HELP\F3C74E3FA248.dll>  [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]
<IFEO[360Safe.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe]
<IFEO[adam.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com]
<IFEO[avp.com]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe]
<IFEO[avp.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe]
<IFEO[EGHOST.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe]
<IFEO[IceSword.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe]
<IFEO[iparmo.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe]
<IFEO[kabaload.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe]
<IFEO[KRegEx.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe]
<IFEO[KvDetect.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]
<IFEO[KVMonXP.kxp]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]
<IFEO[KvXP.kxp]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe]
<IFEO[MagicSet.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe]
<IFEO[mmsk.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.com]
<IFEO[msconfig.com]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
<IFEO[msconfig.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NOD32.exe]
<IFEO[NOD32.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe]
<IFEO[PFW.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe]
<IFEO[PFWLiveUpdate.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe]
<IFEO[QQDoctor.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
<IFEO[Ras.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
<IFEO[Rav.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]
<IFEO[RavMon.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.com]
<IFEO[regedit.com]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]
<IFEO[regedit.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]
<IFEO[runiep.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE]
<IFEO[SREng.EXE]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp]
<IFEO[TrojDie.kxp]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe]
<IFEO[WoptiClean.exe]><D:\WINDOWS\System32\drivers\qpoenl.com>  []
[DF194F2D / DF194F2D][Stopped/Auto Start]
  <D:\WINDOWS\System32\A68EB8AB.EXE -k><N/A>
[Performance Logs and Ale / Windowshown][Stopped/Auto Start]
  <D:\WINDOWS\System32\servet.exe><N/A>

==================================
HOSTS 文件
127.0.0.1    localhost
127.0.0.1    mmsk.cn
127.0.0.1    safe.qq.com
127.0.0.1    360safe.com
127.0.0.1    www.mmsk.cn
127.0.0.1    www.360safe.com
127.0.0.1    zs.kingsoft.com
127.0.0.1    forum.ikaka.com
127.0.0.1    up.rising.com.cn
127.0.0.1    scan.kingsoft.com
127.0.0.1    kvup.jiangmin.com
127.0.0.1    reg.rising.com.cn
127.0.0.1    update.rising.com.cn
127.0.0.1    update7.jiangmin.com
127.0.0.1    download.rising.com.cn
127.0.0.1    dnl-us1.kaspersky-labs.com
127.0.0.1    dnl-us2.kaspersky-labs.com
127.0.0.1    dnl-us3.kaspersky-labs.com
127.0.0.1    dnl-us4.kaspersky-labs.com
127.0.0.1    dnl-us5.kaspersky-labs.com
127.0.0.1    dnl-us6.kaspersky-labs.com
127.0.0.1    dnl-us7.kaspersky-labs.com
127.0.0.1    dnl-us8.kaspersky-labs.com
127.0.0.1    dnl-us9.kaspersky-labs.com
127.0.0.1    dnl-us10.kaspersky-labs.com
127.0.0.1    dnl-eu1.kaspersky-labs.com
127.0.0.1    dnl-eu2.kaspersky-labs.com
127.0.0.1    dnl-eu3.kaspersky-labs.com
127.0.0.1    dnl-eu4.kaspersky-labs.com
127.0.0.1    dnl-eu5.kaspersky-labs.com
127.0.0.1    dnl-eu6.kaspersky-labs.com
127.0.0.1    dnl-eu7.kaspersky-labs.com
127.0.0.1    dnl-eu8.kaspersky-labs.com
127.0.0.1    dnl-eu9.kaspersky-labs.com
127.0.0.1    dnl-eu10.kaspersky-labs.com

真是嚴重的多重感染及下載木馬器
IFEO 被綁架系統服務被注入
krichard2007 (2008-2-09 01:03:40)

請問一下...
什麼是...
IFEO 被綁架
有救嗎....
要怎麼修復....
upside (2008-2-09 01:06:53)

IFEO 綁架主要讓防軟無作用
可以使用我的修復工具裡面就有 IFEO 修復
直接點選就可解掉讓防軟開起運作

不過主要是這檔案 mdngfh.exe
不刪除掉還是會重生

這檔案我也沒有加入模組

系統服務 D:\WINDOWS\System32\A68EB8AB.EXE
也要清掉

D:\WINDOWS\HELP\F3C74E3FA248.dll 這個也要

[ 本帖最後由 upside 於 2008-2-9 01:09 編輯 ]
krichard2007 (2008-2-09 01:12:41)

天啊.....
我現在....
根本就連個 Regedit 都打不開了....
upside (2008-2-09 01:21:29)

註冊檔還能執行嗎 XXX.REG 的
先試看看我的資料夾下有個 tools.reg
可以解註冊表封鎖

看報表就知道這隻來勢兇兇
不過遇過幾次類似的
我也是靠自己的程式 10分鐘解決
問題在於它可能通過木馬下載器另外下載的各種木馬
必須靠防軟來清除乾淨

[ 本帖最後由 upside 於 2008-2-9 01:23 編輯 ]
upside (2008-2-09 01:43:00)

剛剛去查資料時
發現去年12月02號有隻 Win32/Viking.Q
你也是中獎那狀況跟這隻非常類似
甚至
系統服務 D:\WINDOWS\System32\A68EB8AB.EXE
這檔案也一模一樣到底是沒刪除乾淨
還是是相同技術
sylovanas (2008-2-09 09:28:39)

這是帕蟲

那兩個檔案要用icesword的抑制再生成功能刪除
不然兩個進程會交叉掩護。

或者是其他工具一口氣兩個一起刪除
krichard2007 (2008-2-09 14:42:10)

直接點 .REG 檔沒反應.....
所以....
我只好把 regedit.exe 複製到 pvk 的資料夾....
把把它改名改成 regedit1.exe
然後我做一個新的bat檔....
裡面打......
start regedit1.exe Fix_IFEO.reg
我事先...
已經用....
taskkill /im explorer.exe /f
taskkill /im severe.exe /f
taskkill /im mdngfh.exe /f
start explorer
這個語法把病毒程序一次清除完畢了.....
這樣應該可以了吧.....
唉.....這還是我第一次測毒測的那麼難堪.....
OSO
我記住你了.....
下一次改版.....你死定了...
integear (2008-2-09 15:01:18)

樓主竟然敢實機測試啊 .

佩服佩服,上次DW沒設定好,結果不小心中了風暴蠕蟲,也沒這隻毒 .

建議樓主下次用Shadow Defender或RSA來測試比較安全 .

SandBoxie也是不錯的選擇 !
krichard2007 (2008-2-09 16:41:54)

謝謝你的建議.....
我會試試看的......
另外.....
oso.exe
終於解決了.....
upside (2008-2-09 17:01:25)

哈哈恭喜阿
不過你還是再分析一次報表給我看看
是否還有遺漏的
使用實機測試我也是經常這樣做
不過我是很多台測試機在使用
之前是掛網機或下載機
現在是轉為測試軟體與病毒用
krichard2007 (2008-2-09 17:36:40)

報表在此.......
http://item.slide.com/r/1/32/i/rGo7dHFQ7T9VASQYsfkbpp9VEoh7xV3q/
sylovanas (2008-2-09 22:30:40)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1DBD6574-D6D0-4782-94C3-69619E719765}><D:\WINDOWS\HELP\F3C74E3FA248.dll> [N/A]
<{0CD68AC9-FF63-3E61-626B-B663E62F6236}><D:\Program Files\Internet Explorer\romdrivers.dll> [N/A]

除了要刪掉上面shellexecutehooks以外
建議最好hkcr\clsid\{1DBD6574-D6D0-4782-94C3-69619E719765}
hkcr\clsid\{0CD68AC9-FF63-3E61-626B-B663E62F6236}
也要刪除掉
upside (2008-2-10 10:48:50)

的確如 sylovanas 所說剩下登錄檔位置而已
其他檔案都已經清除了
但很可能還有其他生成物在其他資料夾隱藏
雖然不會影響系統也不會再運行
但若有找到還是刪除掉吧
一般清除完成後再用登錄檔清除程式+防毒軟體再掃一次
任性緋紅 (2008-2-10 16:18:39)

上面都處理完了@@

那...會有
D:\WINDOWS\HELP\F3C74E3FA248.dll
應該也會有這隻
D:\WINDOWS\HELP\F3C74E3FA248.exe

剩下大概就沒問題了0.0

想測病毒就請做好防護吧= =
不然...你太閒的話灌雙系統來做實機測試也可以=3=
我都這樣搞的= =
sun88990 (2008-2-18 10:48:46)

NOD32 miss
shen36930 (2008-3-14 21:18:18)

ca pass
my god

[ 本帖最後由 shen36930 於 2008-3-14 21:19 編輯 ]
home81 (2008-3-23 16:31:50)

卡巴斯基
特洛伊木馬程式 Trojan-PSW.Win32.QQPass.uv

查看全部評論

我也來說兩句

月度關注熱點

最新更新主題

剛剛在測試OSO.exe病毒的時候發生意外

我也來說兩句 查看全部評論相關評論

a750828 (2008-2-09 00:46:11)

upside (2008-2-09 00:51:12)

krichard2007 (2008-2-09 01:03:40)

upside (2008-2-09 01:06:53)

krichard2007 (2008-2-09 01:12:41)

upside (2008-2-09 01:21:29)

upside (2008-2-09 01:43:00)

sylovanas (2008-2-09 09:28:39)

krichard2007 (2008-2-09 14:42:10)

integear (2008-2-09 15:01:18)

krichard2007 (2008-2-09 16:41:54)

upside (2008-2-09 17:01:25)

krichard2007 (2008-2-09 17:36:40)

sylovanas (2008-2-09 22:30:40)

upside (2008-2-10 10:48:50)

任性緋紅 (2008-2-10 16:18:39)

sun88990 (2008-2-18 10:48:46)

shen36930 (2008-3-14 21:18:18)

home81 (2008-3-23 16:31:50)

月度關注熱點

最新更新主題

剛剛在測試OSO.exe病毒的時候 發生意外

我也來說兩句 查看全部評論 相關評論

a750828 (2008-2-09 00:46:11)

upside (2008-2-09 00:51:12)

krichard2007 (2008-2-09 01:03:40)

upside (2008-2-09 01:06:53)

krichard2007 (2008-2-09 01:12:41)

upside (2008-2-09 01:21:29)

upside (2008-2-09 01:43:00)

sylovanas (2008-2-09 09:28:39)

krichard2007 (2008-2-09 14:42:10)

integear (2008-2-09 15:01:18)

krichard2007 (2008-2-09 16:41:54)

upside (2008-2-09 17:01:25)

krichard2007 (2008-2-09 17:36:40)

sylovanas (2008-2-09 22:30:40)

upside (2008-2-10 10:48:50)

任性緋紅 (2008-2-10 16:18:39)

sun88990 (2008-2-18 10:48:46)

shen36930 (2008-3-14 21:18:18)

home81 (2008-3-23 16:31:50)

剛剛在測試OSO.exe病毒的時候發生意外

我也來說兩句查看全部評論相關評論