soso313.cn、dao234.com等劫持浏览器,tlntsvi_1547.exe、ydzyh.exe、scvhost.exe等做怪

soso313.cn、dao234.com等劫持浏览器,tlntsvi_1547.exe、ydzyh.exe、scvhost.exe等做怪

 

  一位网友的电脑中了病毒,用超级巡警查杀后,每次开机进入Windows桌面后都会弹出对话框,提示找不到文件tlntsvi_1547.exe,并且桌面上有两个IE图标和360浏览器图标无法删除,IE、360、遨游浏览器均被劫持,开始菜单和快速启动项上多出了几个网址快捷方式,IE右键快捷菜单也多出了几个项目。请偶帮忙检修。

 

 

  重启电脑到带网络连接的安全模式下,用 pe_xscan 扫描 log 并分析,发现如下可疑项:

 

 
   

pe_xscan 09-06-21 by Purple Endurer
2010-3-24 12:23:9
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
带网络连接的安全模式

F2 - HKCU/../PolShell=C:/WINDOWS/Explorer.exe C:/WINDOWS/system32/tlntsvi_1547.exe
O2 - BHO CFunPlayer Object - {4D7D1A10-B9AA-4a06-AEAE-E5EE912A59FC} = C:/WINDOWS/system32/e2c2.dll
O2 - BHO CFunPlayer Object - {66DF3805-4078-4095-BA13-09DBC92F3E87} = C:/WINDOWS/system32/393r.dll  | 2010-2-6 17:51:22 | IE Media Object | 1.0.0.1 | IE Media Object | Beijing Angels Technology ltd.  All rights reserved. | 1.0.0.1 | Beijing Angels Technology ltd.| ? | BHO.dll | b.dll
O2 - BHO BHO Class - {AFA9FF66-862A-4b0c-8D6B-3FB026ECEB0A} = C:/WINDOWS/system32/n9elo8.dll  | 2010-2-14 16:50:54 | Flacdker Product | 1, 0, 2, 8 | Transactin_Module | Copyright 2006 | 1, 0, 2, 8 | RealNetworks Corporation |  | Browser Services | Browser Services
O4 - HKCU/../run: [健康155网] 点击弹出网页广告.可以永久关闭弹出窗口
O4 - HKCU/../run: [se情网站] 点击弹出网页广告,可以关闭弹出网页窗口
O4 - HKLM/../run: [UUSEE] C:/Program Files/Common Files/uusee/UUSeeMediaCenter.exe
O4 - HKLM/../run: [Default Action] C:/windows/system32/LABEL.lnk
O4 - HKLM/../run: [StlockIE] E:/Program Files/NBA LIVE 2008/Webserver.exe
O4 - HKLM/../run: [xydzyh] C:/WINDOWS/system32/xydzyh.exe
O4 - HKLM/../run: [360Soft] C:/WINDOWS/system32/scvhost.exe
ms.job
O9 - IE工具栏扩展按钮HKLM:百度一下,你就知道! - {0036A2BA-F043-481D-81B1-BF9761EDB7DE} -hxxp://www.sw777.cn
O9 - IE工具菜单扩展项HKLM:百度一下,你就知道! - {0036A2BA-F043-481D-81B1-BF9761EDB7DE} -hxxp://www.sw777.cn
O9 - IE工具栏扩展按钮HKLM:好站金牌网址! - {078EE8AC-3825-41EB-BADB-A8A4F21A6A56} -hxxp://www.72227.cn
O9 - IE工具菜单扩展项HKLM:好站金牌网址! - {078EE8AC-3825-41EB-BADB-A8A4F21A6A56} -hxxp://www.72227.cn
O23 - 服务: 6to4 (ComputerBrow) - C:/WINDOWS/System32/svchost.exe -k netsvcs  | 2007-6-1 0:0:0
       -> C:/WINDOWS/system32/6to4ex.dll(自动)
O23 - 服务: AsyncMac (RAS Asynchronous Media Driver) - system32/DRIVERS/asyncmac.sys (手动)
O23 - 服务: BrowserMedia (BrowserMedia) - C:/WINDOWS/system32/32u4.exe(自动)
O23 - 服务: IE_WinServerName (Windows CreaterIE) - C:/WINDOWS/MSDDOS.exe(自动)
O23 - 服务: MediaIECom (MediaIECom) - C:/WINDOWS/system32/733d.exe | 2010-2-6 17:51:24(自动)
O23 - 服务: OSEvent (OSEvent) - C:/WINDOWS/system32/s.exe | 2010-1-20 13:31:22 | Microsoft(R) Windows(R) Operating System | 3.1.2600.2160 | COM Surrogate | Microsoft Corporation | 3.1.2600.2160 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | COM| ?(自动)
O23 - 服务: Sanseex (Remote Access Connection Manage) - C:/WINDOWS/system32/Servicx.exe(自动)
O23 - 服务: W32Time (Windows Time) - C:/WINDOWS/System32/svchost.exe -k netsvcs  | 2007-6-1 0:0:0
       -> c:/windows/system32/senol/qqbupreais.dll(自动)
O29 - HKCU-Search Bar =hxxp://www.soso313.cn/?ars

 

用HijackThis 1.98修复 O2、O4、O9、O23,其它项目用注册表编辑器搜索删除。


检查开始菜单,发现了几个网址快捷方式:

 

1、上网导航
指向:C:/WINDOWS/网址导航.url

2、健康155网
指向:hxxp://www.jyhacker.cn/

3、se情网站
指向:hxxp://www.yl133.com/article/Recipes/info-2013.html

4、怎么做爱爽
hxxp://www.yl133.com/article/Recipes/info-2013.html

5、好站soso313.cn
指向:hxxp://www.soso313.cn/?fc

6、淘宝网
指向:hxxp://search8.taobao.com/browse/cat-0-g,nvwv6mjqgaytcnjvgbptaxzq.htm?pid=mm_12469457_0_0

  全删除。

 

  而傲游浏览器的快捷方式则指向:

"C:/Program Files/Maxthon/Maxthon.exe"www.soso313.cn/?ars

  去掉只读属性,修改为:"C:/Program Files/Maxthon/Maxthon.exe"。

 

  再检查快速启动栏,也多出了几个网址快捷方式:

 

1、启动 Internet Explorer 浏览器
指向:hxxp://www.dao234.com/?a

2、启动 Internet Explorer 浏览器
指向:"查找并显示 Internet 上的信息和网站。"

3、好站soso313.cn
指向:hxxp://www.soso313.cn/?fc

4、淘宝网
hxxp://search8.taobao.com/browse/cat-0-g,nvwv6mjqgaytcnjvgbptaxzq.htm?pid=mm_12469457_0_0

  全删除。

 

  而傲游浏览器的快捷方式则指向:


"C:/Program Files/Maxthon/Maxthon.exe"hxxp://www.qq225.com/?pp2

 

  去掉只读属性,修改为:"C:/Program Files/Maxthon/Maxthon.exe"。
 
  用Windows自带的“桌面清理”工具来删除桌面上有两个IE图标和360浏览器图标。步骤如下:

  在桌面空白处右键单击,然后依次选择“属性→桌面→自定义桌面→现在清理桌面”,在打开的“清理桌面向导”中点“下一步”,然后在“快捷方式”区域选中桌面上的两个IE图标和360浏览器图标,然后 下一步 → 完成。


附部分恶意程序文件信息:


文件说明符 : C:/WINDOWS/system32/393r.dll
属性 : ----
数字签名:Beijing BoDong Wanjie Network Technology Co.Ltd
PE文件:是
语言 : 中文(中国)
文件版本 : 1.0.0.1
说明 : IE Media Object
版权 : Beijing Angels Technology ltd.  All rights reserved.
产品版本 : 1.0.0.1
产品名称 : IE Media Object
公司名称 : Beijing Angels Technology ltd.
内部名称 : BHO.dll
源文件名 : b.dll
创建时间 : 2010-1-30 21:8:29
修改时间 : 2010-2-6 17:51:22
大小 : 156328 字节 152.680 KB
MD5 : cef404bb4d617cc5c7ee83ef7e54cf4c
SHA1: 4515A901689910D07F0A18E7B1D4A34D9455CA82
CRC32: 0618c254

 

反病毒引擎 版本 最后更新 扫描结果
a-squared 4.5.0.50 2010.03.24 Trojan-Downloader.Win32.Adload!IK
AhnLab-V3 5.0.0.2 2010.03.24 -
AntiVir 8.2.1.196 2010.03.24 TR/BHO.adld
Antiy-AVL 2.0.3.7 2010.03.24 AdWare/Win32.BHO.gen
Authentium 5.2.0.5 2010.03.24 -
Avast 4.8.1351.0 2010.03.24 Win32:Adload-LR
Avast5 5.0.332.0 2010.03.24 Win32:Adload-LR
AVG 9.0.0.787 2010.03.24 -
BitDefender 7.2 2010.03.24 Application.Generic.285893
CAT-QuickHeal 10.00 2010.03.24 Trojan.Agent.ATV
ClamAV 0.96.0.0-git 2010.03.24 -
Comodo 4368 2010.03.24 ApplicUnwnt.Win32.Adware.DM.B
DrWeb 5.0.1.12222 2010.03.24 MULDROP.Trojan
eSafe 7.0.17.0 2010.03.24 Win32.TRBHO.Adld
eTrust-Vet 35.2.7386 2010.03.24 -
F-Prot 4.5.1.85 2010.03.23 -
F-Secure 9.0.15370.0 2010.03.24 Application.Generic.285893
Fortinet 4.0.14.0 2010.03.24 Adware/BHO
GData 19 2010.03.24 Application.Generic.285893
Ikarus T3.1.1.80.0 2010.03.24 Trojan-Downloader.Win32.Adload
Jiangmin 13.0.900 2010.03.24 -
K7AntiVirus 7.10.1004 2010.03.22 Trojan.Win32.Malware.4
Kaspersky 7.0.0.125 2010.03.24 not-a-virus:AdWare.Win32.BHO.lct
McAfee 5929 2010.03.23 potentially unwanted program Adware-BHO
McAfee+Artemis 5929 2010.03.23 potentially unwanted program Adware-BHO
McAfee-GW-Edition 6.8.5 2010.03.24 Trojan.BHO.adld
Microsoft 1.5605 2010.03.24 TrojanDownloader:Win32/Adload.L
NOD32 4971 2010.03.24 Win32/Adware.WSearch.AD
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.24 Trojan-Clicker/W32.BHO.156328
Panda 10.0.2.2 2010.03.23 Suspicious file
PCTools 7.0.3.5 2010.03.24 Adware.Ruango
Prevx 3.0 2010.03.24 High Risk Spyware
Rising 22.40.02.03 2010.03.24 -
Sophos 4.51.0 2010.03.24 Mal/Generic-A
Sunbelt 6031 2010.03.22 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.03.24 Adware.ADH
TheHacker 6.5.2.0.242 2010.03.24 -
TrendMicro 9.120.0.1004 2010.03.24 -
VBA32 3.12.12.2 2010.03.24 -
ViRobot 2010.3.24.2242 2010.03.24 -
VirusBuster 5.0.27.0 2010.03.24 Trojan.BHO.ADSA

 

文件说明符 : C:/WINDOWS/system32/n9elo8.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 2, 8
说明 : Transactin_Module
版权 : Copyright 2006
备注 : RealNetworks Corporation
产品版本 : 1, 0, 2, 8
产品名称 : Flacdker Product
公司名称 : RealNetworks Corporation
内部名称 : Browser Services
源文件名 : Browser Services
创建时间 : 2010-2-14 16:50:52
修改时间 : 2010-2-14 16:50:54
大小 : 49152 字节 48.0 KB
MD5 : b0dbc62ab50f176d1740b17ae269ef8e
SHA1: EF84013329758D7FEB6DCA2024F22865BC89C31A
CRC32: 20b3a0d1

 

文件 n9elo8.dll 接收于 2010.03.24 13:40:59 (UTC)

 

反病毒引擎 版本 最后更新 扫描结果
a-squared 4.5.0.50 2010.03.24 Riskware.AdWare.Win32.BHO!IK
AhnLab-V3 5.0.0.2 2010.03.24 -
AntiVir 8.2.1.196 2010.03.24 ADSPY/Bho.lft
Antiy-AVL 2.0.3.7 2010.03.24 AdWare/Win32.BHO.gen
Authentium 5.2.0.5 2010.03.24 -
Avast 4.8.1351.0 2010.03.24 Win32:Malware-gen
Avast5 5.0.332.0 2010.03.24 Win32:Malware-gen
AVG 9.0.0.787 2010.03.24 -
BitDefender 7.2 2010.03.24 -
CAT-QuickHeal 10.00 2010.03.24 -
ClamAV 0.96.0.0-git 2010.03.24 -
Comodo 4368 2010.03.24 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.03.24 -
eSafe 7.0.17.0 2010.03.24 -
eTrust-Vet 35.2.7386 2010.03.24 Win32/SillyBHO.HD
F-Prot 4.5.1.85 2010.03.23 -
F-Secure 9.0.15370.0 2010.03.24 -
Fortinet 4.0.14.0 2010.03.24 Adware/BHO
GData 19 2010.03.24 Win32:Malware-gen
Ikarus T3.1.1.80.0 2010.03.24 not-a-virus:AdWare.Win32.BHO
Jiangmin 13.0.900 2010.03.24 Adware/Boolans.gd
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.24 not-a-virus:AdWare.Win32.BHO.lft
McAfee 5929 2010.03.23 Generic PWS!hv.ah
McAfee+Artemis 5929 2010.03.23 Artemis!B0DBC62AB50F
McAfee-GW-Edition 6.8.5 2010.03.24 Ad-Spyware.Bho.lft
Microsoft 1.5605 2010.03.24 -
NOD32 4971 2010.03.24 -
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.24 -
Panda 10.0.2.2 2010.03.23 -
PCTools 7.0.3.5 2010.03.24 Adware.WSearch.O
Prevx 3.0 2010.03.24 Medium Risk Malware
Rising 22.40.02.03 2010.03.24 -
Sophos 4.51.0 2010.03.24 -
Sunbelt 6031 2010.03.22 -
Symantec 20091.2.0.41 2010.03.24 Adware.Gen
TheHacker 6.5.2.0.242 2010.03.24 -
TrendMicro 9.120.0.1004 2010.03.24 TROJ_DESUROU.SMB
VBA32 3.12.12.2 2010.03.24 AdWare.Win32.BHO.lft
ViRobot 2010.3.24.2242 2010.03.24 -
VirusBuster 5.0.27.0 2010.03.24 -

 

文件说明符 : C:/windows/system32/LABEL.lnk
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2010-1-23 22:1:54
修改时间 : 2009-11-9 19:39:26
大小 : 550 字节
MD5 : 2ae187388c036162e8054ccc7550d9f8
SHA1: E36D7F4DD2637FC18439C63BE1D003F818DBB8CD
CRC32: bcb3ed57

 

指向:c:/windows/system32/doit.vbs

 

文件说明符 : C:/WINDOWS/system32/733d.exe
属性 : ---R
数字签名:Beijing BoDong Wanjie Network Technology Co.Ltd
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-1-30 21:8:29
修改时间 : 2010-2-6 17:51:24
大小 : 115368 字节 112.680 KB
MD5 : 2d6440d451236ec8a330bf3f54b548e7
SHA1: 7267854CC6594B0D01DCF8BBE7F38D176464B79D
CRC32: b13beaaf

 

 

文件 733d.exe 接收于 2010.03.24 13:36:37 (UTC)

 

反病毒引擎 版本 最后更新 扫描结果
a-squared 4.5.0.50 2010.03.24 Trojan-Downloader.Win32.Adload!IK
AhnLab-V3 5.0.0.2 2010.03.24 Win-Trojan/Adload.115368
AntiVir 8.2.1.196 2010.03.24 ADSPY/Bho.kzb
Antiy-AVL 2.0.3.7 2010.03.24 Trojan/Win32.Adload.gen
Authentium 5.2.0.5 2010.03.24 W32/Rugu.D.gen!Eldorado
Avast 4.8.1351.0 2010.03.24 Win32:Adload-LR
Avast5 5.0.332.0 2010.03.24 Win32:Adload-LR
AVG 9.0.0.787 2010.03.24 Generic16.BKIH
BitDefender 7.2 2010.03.24 Application.Generic.284939
CAT-QuickHeal 10.00 2010.03.24 TrojanDownloader.Adload.obl
ClamAV 0.96.0.0-git 2010.03.24 -
Comodo 4368 2010.03.24 -
DrWeb 5.0.1.12222 2010.03.24 Trojan.DownLoad1.36946
eSafe 7.0.17.0 2010.03.24 -
eTrust-Vet 35.2.7386 2010.03.24 -
F-Prot 4.5.1.85 2010.03.23 W32/Rugu.D.gen!Eldorado
F-Secure 9.0.15370.0 2010.03.24 Application.Generic.284939
Fortinet 4.0.14.0 2010.03.24 W32/Adload.OBL!tr.dldr
GData 19 2010.03.24 Application.Generic.284939
Ikarus T3.1.1.80.0 2010.03.24 Trojan-Downloader.Win32.Adload
Jiangmin 13.0.900 2010.03.24 TrojanDownloader.Adload.ipm
K7AntiVirus 7.10.1004 2010.03.22 Trojan-Downloader.Win32.Adload.obl
Kaspersky 7.0.0.125 2010.03.24 Trojan-Downloader.Win32.Adload.obl
McAfee 5929 2010.03.23 Generic Downloader.x!dap
McAfee+Artemis 5929 2010.03.23 Generic Downloader.x!dap
McAfee-GW-Edition 6.8.5 2010.03.24 Ad-Spyware.Bho.kzb
Microsoft 1.5605 2010.03.24 -
NOD32 4971 2010.03.24 Win32/Adware.WSearch
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.24 Trojan-Clicker/W32.BHO.115368
Panda 10.0.2.2 2010.03.23 Suspicious file
PCTools 7.0.3.5 2010.03.24 Trojan-Downloader.Adload
Prevx 3.0 2010.03.24 -
Rising 22.40.02.03 2010.03.24 -
Sophos 4.51.0 2010.03.24 Mal/Generic-A
Sunbelt 6031 2010.03.22 Trojan.Win32.Generic!BT
Symantec 20091.2.0.41 2010.03.24 SecurityRisk.ADH
TheHacker 6.5.2.0.242 2010.03.24 -
TrendMicro 9.120.0.1004 2010.03.24 -
VBA32 3.12.12.2 2010.03.24 AdWare.Win32.BHO.kzb
ViRobot 2010.3.24.2242 2010.03.24 -
VirusBuster 5.0.27.0 2010.03.24 Adware.Bho.ACXE

 

文件说明符 : C:/WINDOWS/system32/s.exe
属性 : A--R
数字签名:Beijing BoDong Wanjie Network Technology Co.Ltd
PE文件:是
语言 : 中文(中国)
文件版本 : 3.1.2600.2160 (xpsp_sp2_rtm.040803-2158)
说明 : COM Surrogate
版权 : Microsoft Corporation
产品版本 : 3.1.2600.2160
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : COM
创建时间 : 2009-12-30 17:29:57
修改时间 : 2010-1-20 13:31:22
大小 : 85456 字节 83.464 KB
MD5 : fff63a64b440ca1b4e2071e5ac4e3a29
SHA1: FCD1C863D92785349F461E899EBE1C3FEEED892B
CRC32: b5cf10e6

 

文件 s.exe 接收于 2010.03.24 13:43:46 (UTC)

反病毒引擎 版本 最后更新 扫描结果
a-squared 4.5.0.50 2010.03.24 Riskware.AdWare.Win32.Zhongsou!IK
AhnLab-V3 5.0.0.2 2010.03.24 -
AntiVir 8.2.1.196 2010.03.24 -
Antiy-AVL 2.0.3.7 2010.03.24 -
Authentium 5.2.0.5 2010.03.24 -
Avast 4.8.1351.0 2010.03.24 -
Avast5 5.0.332.0 2010.03.24 -
AVG 9.0.0.787 2010.03.24 -
BitDefender 7.2 2010.03.24 -
CAT-QuickHeal 10.00 2010.03.24 -
ClamAV 0.96.0.0-git 2010.03.24 -
Comodo 4368 2010.03.24 UnclassifiedMalware
DrWeb 5.0.1.12222 2010.03.24 Trojan.AdLoad.8
eSafe 7.0.17.0 2010.03.24 Win32.Agent.Qoc
eTrust-Vet 35.2.7386 2010.03.24 -
F-Prot 4.5.1.85 2010.03.23 -
F-Secure 9.0.15370.0 2010.03.24 -
Fortinet 4.0.14.0 2010.03.24 -
GData 19 2010.03.24 -
Ikarus T3.1.1.80.0 2010.03.24 not-a-virus:AdWare.Win32.Zhongsou
Jiangmin 13.0.900 2010.03.24 -
K7AntiVirus 7.10.1004 2010.03.22 -
Kaspersky 7.0.0.125 2010.03.24 -
McAfee 5929 2010.03.23 -
McAfee+Artemis 5929 2010.03.23 Artemis!FFF63A64B440
McAfee-GW-Edition 6.8.5 2010.03.24 -
Microsoft 1.5605 2010.03.24 -
NOD32 4971 2010.03.24 a variant of Win32/Agent.QOC
Norman 6.04.10 2010.03.24 -
nProtect 2009.1.8.0 2010.03.24 -
Panda 10.0.2.2 2010.03.23 -
PCTools 7.0.3.5 2010.03.24 -
Prevx 3.0 2010.03.24 -
Rising 22.40.02.03 2010.03.24 -
Sophos 4.51.0 2010.03.24 -
Sunbelt 6031 2010.03.22 -
Symantec 20091.2.0.41 2010.03.24 Suspicious.Insight
TheHacker 6.5.2.0.242 2010.03.24 Trojan/Agent.qoc
TrendMicro 9.120.0.1004 2010.03.24 -
VBA32 3.12.12.2 2010.03.24 -
ViRobot 2010.3.24.2242 2010.03.24 -
VirusBuster 5.0.27.0 2010.03.24 -

 

你可能感兴趣的:(系统维护)