查看: 3222|回复: 6
收起左侧

病毒求助!!iqwfobe.exe owupxei.exe

[复制链接]
phucuty
发表于 2007-6-28 08:42:52 | 显示全部楼层 |阅读模式
我的电脑中了病毒 ,前天在论坛发过帖子,卡巴给于支持,但是后来病毒又复活了,杀软和浏览器被劫持,不能打开,扫描结果如下:
敬请高手指点,谢谢!

HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:55:50, 日期 2007-6-27
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v7.00 (7.00.6000.16441)
当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
C:\Program Files\Common Files\System\owupxei.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Program Files\PPVod\QvodTerminal.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Documents and Settings\cheil\桌面\新建文件夹 (2)\HijackThis1991zww.exe
R3 - URLSearchHook: Tencent SearchHook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\SSPlus\SAddr.dll
O2 - BHO: QQCycloneHelper - {00000000-12C9-4305-82F9-43058F20E8D2} - C:\Program Files\Tencent\QQDownload\QQIEHelper01.dll
O2 - BHO: Thunder Browser Helper - {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\SSPlus\SAddr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - 启动项HKLM\\Run: [tubjsoe] C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
O4 - 启动项HKLM\\Run: [bhpkndi] C:\Program Files\Common Files\System\owupxei.exe
O4 - 启动项HKLM\\Run: [] C:\Program Files\Common Files\Microsoft Shared\
O4 - 启动项HKLM\\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用超级旋风下载 - C:\Program Files\Tencent\QQDownload\geturl.htm
O8 - IE右键菜单中的新增项目: &使用超级旋风下载全部链接 - C:\Program Files\Tencent\QQDownload\getAllurl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - IE右键菜单中的新增项目: 将转换链接目标为 Adobe PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 将选定的内容转换为 Adobe PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 将选定的内容转换到现有的 PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 将选定的链接转换到现有的 PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - IE右键菜单中的新增项目: 将链接目标转换到现有的 PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 转换为 Adobe PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换到现有的 PDF - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为 Adobe PDF  - res://d:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O9 - 浏览器额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的"工具"菜单项: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: Web反病毒统计 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11 \REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TBH] 中文搜搜
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {938527D1-CDB7-4147-998A-B20FCA5CC976} (Cdmcco Class) - http://cafeimg.hanmail.net/activex/dmcc2.cab?Version=1,0,0,10
O16 - DPF: {9ADACAA6-533E-4383-AFA7-F0A66650B6D8} (VqqSpeedDlProxy Class) - http://218.30.73.95/qqfile/p2p/vqqsdl.cab
O16 - DPF: {EC0978ED-24E3-403C-AB7A-060E388553E6} (BoBoControl Class) - http://www.17bobo.com/Software/BoBo_ActiveX_V3.ocx
O18 - 列举现有的协议: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\PROGRA~1\KuGoo3\InExtend\KUGOO3~1.OCX (file missing)
O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 列举现有的协议: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: syshosts - {DA52A36A-7697-4680-8846-F42D2DC790AF} - syshosts.dll (file missing)
O23 - NT 服务: 卡巴斯基互联网安全套装6.0个人版 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - NT 服务: BitDefender Scan Server (BDSS) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - NT 服务: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - NT 服务: Qvod Terminal - Unknown owner - C:\Program Files\PPVod\QvodTerminal.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


[ 本帖最后由 phucuty 于 2007-6-28 08:44 编辑 ]
zhaonimm
发表于 2007-6-28 11:54:35 | 显示全部楼层
这个   你最好是下载SRENG 然后扫描  报告!!!
这个的报告不是很全面 虽然看到病毒启动项和病毒文件 但是不知道有没有驱动保护!!
O4 - 启动项HKLM\\Run: [tubjsoe] C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
O4 - 启动项HKLM\\Run: [bhpkndi] C:\Program Files\Common Files\System\owupxei.exe
C:\Program Files\Common Files\Microsoft Shared\iqwfobe.exe
C:\Program Files\Common Files\System\owupxei.exe
删除!!
magic659117852
发表于 2007-6-28 17:08:40 | 显示全部楼层
建议再扫一个SRE报告上来,,,

PS 这样也原创
phucuty
 楼主| 发表于 2007-6-30 08:11:02 | 显示全部楼层
 “AV终结者”是一种U盘寄生病毒,其传播是通过U盘等存储介质或者注入服务器来实现的。此类病毒都会在移动设备或硬盘根目录下生成Autorun.inf文件,用户双击盘符即可激活病毒。除了U盘之外,MP3、MP4、移动硬盘、数码相机等移动储存设备无一例外地成为此类病毒的传播载体。2003年国内出现首例通过U盘传播的病毒,进入2007年,“熊猫烧香”等重大病毒纷纷把U盘作为主要传播途径,越来越多的电脑用户因为不当使用U盘而感染病毒,国家计算机病毒应急中心在2月份为此专门发出“当心U盘传播病毒”的重大病毒预警。




AV终结者”集目前最流行的病毒技术于一身,而且破坏过程经过了严密的“策划”,普通用户一旦感染该病毒,从病毒进入电脑,到实施破坏,四步就可导致用户电脑彻底崩溃:

  1、禁用所有杀毒软件以相关安全工具,让用户电脑失去安全保障;

  2、破坏安全模式,致使用户根本无法进入安全模式清除病毒;

  3、强行关闭带有病毒字样的网页,只要在网页中输入“病毒”相关字样,网页遂被强行关闭,即使是一些安全论坛也无法登陆,用户无法通过网络寻求解决办法;

  4、格式化系统盘重装后很容易被再次感染。用户格式化后,只要双击其他盘符,病毒将再次运行。

  经过“AV终结者”的精心“策划”,用户电脑的安全防御体系被彻底摧毁,安全性几乎为零,而“AV终结者”并未就此罢手,自动连接到某网站,大量下载数百种木马病毒,各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下,鱼贯而来,用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

  据了解,“AV终结者”变种仍在不断更新,如果不即及时进行查杀,广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性,金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀,金山毒霸反病毒处理中心第一时间推出了专杀工具,用户可登陆http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM进行下载,此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站,用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具,然后接到中毒电脑中进行查杀

[ 本帖最后由 phucuty 于 2007-6-30 08:12 编辑 ]
phucuty
 楼主| 发表于 2007-6-30 08:17:49 | 显示全部楼层
因为我们公司的好几台电脑都感染上这个病毒了,我深受其害,然后就把这个病毒的所有信息都公布于大家,让后人免受其害
转贴:

揭秘“AV终结者”病毒的生态链

 论坛中有关“AV终结者”病毒的咨询,仍然在继续增长,原来我还以为这个病毒中了之后,用户会很快发现杀毒软件工作异常,然后就会想办法去处理掉这个病毒,病毒的隐蔽性就不会太强。但事实不是这样的,多数用户对杀毒软件不能正常工作并不觉得有异常。因为,此时系统的其它功能基本不受影响,病毒也不会影响系统性能或影响网速。以致于已经中毒的系统还可以申请远程协助,以完成手工杀毒操作。

  我在思考另一个问题——“AV终结者”病毒,是否和“熊猫烧香”一样,是盗号集团的杰作??

  首先来看一下“AV终结者”病毒程序本身设计的传播功能——程序自身仅能通过U盘或移动硬盘传播。一个具备如此简单传播方式的病毒,如何能引起这样大规模的传播呢?仅仅靠病毒程序的自然衍生,显然不能做到这一点。那么,这个病毒极可能是人为操纵的结果。

  那么“AV终结者”病毒,最开始是通过什么途径入侵的呢?这个病毒后面是不是还隐藏着更多的迷?

  在AV终结者之前,有两类病毒值得我们去关注,一是“Risk.exploit.ani”病毒,是利用ANI漏洞广泛挂马。另一类,是利用ARP欺骗,劫持整个局域网会话,被劫持的局域网电脑用户访问任何网站都会同时从16.us站点(还有更多的下载站)下载木马。

  和熊猫烧香病毒案比起来,“AV终结者”表现得更加隐蔽,该病毒对抗杀毒软件的伎俩差不多发挥到了极致。整个“AV终结者”病毒传播链条之复杂程度,远超过熊猫烧香。“AV终结者”病毒已经具备了企业化、公司化运作的特征。“AV终结者”病毒传播链接大致包括以下三个阶段。

  第一阶段:传播“AV终结者”病毒

  最快速有效的传播手法,是通过攻击企业公共服务器(通常是IDC机房托管的服务器),攻击成功后,直接在服务器上植入木马,再利用ANI漏洞迅速传播。不仅如此,攻击者还会在被攻陷的服务器上植入ARP攻击程序,成功将挂马成果扩大到整个机房。类似的手法,可以在攻入企业内部网后,发起ARP攻击行为,迅速让挂马现象在整个公司网络中漫延。

  另一种作法更直接,直接把制作完成的“AV终结者”病毒通过U盘,在网吧等公共上网场所人为传播。方法很简单,到目标机器上插一下U盘就办到了。

  第二阶段:“AV终结者”病毒活跃期

  “AV终结者”病毒成功入侵后,几乎可以把中国用户常用的各种杀毒软件、系统配置管理软件全部劫持,关闭windows防火墙和Windows自动更新。为防止用户通过安全模式清除病毒,病毒干脆修改系统配置,不允许系统启动到安全模式。这样做的目的很明确——就是迅速令中毒系统丧失安全防范能力。

  第三阶段:木马活跃期

  经过前一阶段的准备,“AV终结者”成功的让中毒的电脑系统完全丧失安全防范能力。然后,病毒内置的下载器功能大显身手,数10种不同功能的木马后门程序通过“AV终结者”病毒下载到已经中毒的电脑上,这些木马后门程序会拿走木马控制者所感兴趣的任何东西。中毒电脑上最终的受损情况,要取决于木马控制者的喜好。

  为何判断这是盗号集团在企业化公司化运作?

  理由是,在上面“AV终结者”病毒发展的三个阶段中,任一阶段均使用了多种不同的病毒和攻击手段,病毒不再是单打独斗,而是发展到协同作战的程度。其复杂度体现在:传播阶段的手法多样性;入侵后对抗杀毒软件技术的复杂性;木马收获阶段,几乎面面俱到,无所不拿。综合这些特点,很难想像,一个人或者仅仅几个人如何去完成这种复杂的任务。

  谁在指挥这个复杂的利益链?

  答案当然是受益者,“AV终结者”病毒会自动连接到一些服务器下载各种木马,这些服务器成为整个利益链条中的聚合器。那么,拥有或控制这些站点的人,应该是“AV终结者”病毒利益链中最直接的受益者。

  我们分析了部分“AV终结得”病毒的下载站,发现变种不同,下载站也会有所区别。这里仅公布其中一个下载站的信息:

  WHOIS Results for: 100000000000000000000000000000.cn
  Domain Name: 100000000000000000000000000000.cn
  ROID: 20070314s10001s35110810-cn
  Domain Status: ok
  Registrant Organization: 蓝色精灵
  Registrant Name: 蓝色精灵
  Administrative Email: shenzhenkeji@hotmail.com
  Sponsoring Registrar: 北京新网互联科技有限公司
  Name Server:ns1.dns.com.cn
  Name Server:ns2.dns.com.cn
  Registration Date: 2007-03-14 18:27
  Expiration Date: 2008-03-14 18:27
  
  一个叫蓝色精灵的组织在2007年3月14日使用shenzhenkeji@hotmail.com注册了100000000000000000000000000000.cn域名,有一个“AV终结者病毒”的变种从这个站提供了大量的木马下载,拥有这个站点或控制这个站点的人,有重大作案嫌疑。

  熊猫烧香的作者李俊落网了,李俊肯定不会是唯一的,下一个会是谁呢?
phucuty
 楼主| 发表于 2007-6-30 08:19:12 | 显示全部楼层
原帖由 zhaonimm 于 2007-6-28 11:54 发表
这个   你最好是下载SRENG 然后扫描  报告!!!
这个的报告不是很全面 虽然看到病毒启动项和病毒文件 但是不知道有没有驱动保护!!
O4 - 启动项HKLM\\Run: [tubjsoe] C:\Program Files\Common Files\Micros ...



这个绝对不好使,删除后立刻复活了,没有办法 
zhaonimm
发表于 2007-6-30 09:47:09 | 显示全部楼层
说了 需要SRENG报告  你最好来一份 你现在的这个报告不全!!!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 19:56 , Processed in 0.137340 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表