遭遇conme.exe,abbhelp.dll,MintRoot.sys,AntiVirus.sys,mtlrd.sys等2

 (续1)

 

　　从pe_xscan 的 log 上看，病毒程序下载安装了许多恶意程序，并且其中一些放在IE及Tencent程序文件夹中，鱼目混珠。如：

 
文件说明符 : C:/Program Files/Internet Explorer/Top.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:20
修改时间 : 2009-9-22 16:26:22
大小 : 66141 字节 64.605 KB
MD5 : bf779e4ff8c6cd87355bd125aa4e5d49
SHA1: 8DF4753C33E9378607553651284C30F1907AF256
CRC32: f6b508f3

卡巴斯基 报为：Trojan-PSW.Win32.QQPass.msc，瑞星 报为：Trojan.PSW.Win32.QQPass.eri
 
文件说明符 : C:/PROGRA~1/INTERN~1/PLUGINS/IEPLUG.Dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:36:19
修改时间 : 2009-10-12 10:43:32
大小 : 42728 字节 41.744 KB
MD5 : 81f3c5dfec67cd967775f81430dc8281
SHA1: B4CE5AAE49F17F7BBAED9C12E4D5264FE4E4BBBE
CRC32: ce2d21c8

 

 

文件说明符 : C:/PROGRA~1/COMMON~1/Tencent/QQPlug/domain.dll
属性 : --H-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : BhoPlugin Module
版权 : Copyright 2008
产品版本 : 1, 0, 0, 1
产品名称 : BhoPlugin Module
内部名称 : BhoPlugin
源文件名 : BhoPlugin.DLL
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 14848 字节 14.512 KB
MD5 : fcd1780462b4e4b09d95a2664a14ead9
SHA1: 0CE5CDBA42AC9FDA85C2261188CF1C186190DC44
CRC32: 3a1976e8
 
文件说明符 : C:/PROGRA~1/COMMON~1/Tencent/QQPlug/QQdoctor.exe
属性 : --H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 3584 字节 3.512 KB
MD5 : c3c97d3f2c903fcaf58e6d3084d14855
SHA1: FC090E91B3C18A02E27D2D274A28757BCBCC2F61
CRC32: a4b2a2ce

 

卡巴斯基 报为：Trojan-PSW.Win32.QQPass.omq，瑞星 报为：Trojan.Win32.Inject.fip

 

此外，病毒还替换了相当多的系统文件，如：

 

文件说明符 : C:/WINDOWS/system32/comres.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-16 21:14:8
修改时间 : 2009-10-10 22:56:52
大小 : 22016 字节 21.512 KB
MD5 : bf8705bcc12a0c36d9b472736d199943
SHA1: C44D45AD0FCA7D365226522BEF4D49BCD535CFB3
CRC32: c02168b4

 

卡巴斯基 报为：Trojan-GameThief.Win32.Magania.cegr，瑞星 报为：Trojan.PSW.Win32.DNFOnLine.bl

 

　　由于病毒中包括了viking，它不仅感染了C盘的EXE文件，还感染了其它盘的EXE文件。只要一运行其它盘中被感染的EXE文件，病毒就会重新发作。

 

　　手工修复相对来说麻烦一些：

 

　　用Win PE 来或 MAX DOS 系统来启动电脑，删除 log中红色标记的文件（可以写一个bat来完成），并用autoruns之类的软件删除病毒添加的启动项目；

 

　　对于被病毒替换的系统文件，有Windows SP3光盘的话，可以用sfc命令来修复，否则要手工从dllcache或其它电脑中复制；

 

　　用杀毒软件作一次彻底的扫描，清除其它盘中的病毒。DrWeb CureIt!对付感染型的病毒相当不错，绿色无须安装。

 

 

　　如果是一键还原C盘或重装系统，完成后也要用杀毒软件作一次彻底的扫描。