MSOSMHfp00.zip(木马DLL)

BING126

McAfee         PWS-Mmorpg.gen

saber123

ACCESS DENIEDThe requested URL could not be retrievedWhile trying to retrieve the URL: http://bbs.kafan.cn/attachment.php?aid=249305
The folowing error was encountered:

• The requested object is INFECTED. The following viruses Trojan-PSW.Win32.OnLineGames.abzl were found

Please contact your service provider if you feel this is incorrect.

Generated Fri Apr 25 20:07:00 2008 by Kaspersky Anti-Virus 7.0

沙加

赛门铁克报了
已解决的风险:
Infostealer.Menghuan
病毒 ID: 18938
类型: 已压缩
风险: 高 (高 隐蔽性，高 清除，高 性能，高 隐私)  
类别: 病毒
状态: 完全解决
-----------
1 个文件
[msosmhfp00.dll] 位于[e:\msosmhfp00.zip] - 已删除

qigang

瑞星病毒查杀结果报告

清除病毒种类列表：

病毒： Trojan.PSW.Win32.GameOL.ndt

MAC 地址：00:11:5B:F3:6D:69

用户来源：互联网

软件版本：20.41.42

chtan2008

学校主机中毒了.....^_^!2008-05-04 22:40日志如下:(病如膏肓的家伙,照修,能启动就能把他修复好...)

1.sreng分析结果:删除下面的文件

c:\windows\system32\zqujytx.dll
c:\windows\system32\sysloader.dll
c:\windows\system32\zjyqgaxsaplitlm.dll
c:\windows\system32\zgxfdx.dll
c:\windows\system32\wyhesm.dll
c:\windows\system32\zjydcx.dll
c:\windows\system32\cedafb.dll
c:\windows\system32\hhrdxd.dll
c:\windows\system32\sgrefg.dll
c:\program files\internet explorer\plugins\winsys16.sys
c:\windows\system32\ttqacqac1038.dll
c:\windows\system32\ttvufvuf1011.dll
c:\windows\system32\dqwlvwlv1012.dll
c:\windows\system32\ttezzezz1046.dll
c:\windows\system32\ttnnbnnb1047.dll
c:\windows\system32\ayfkkfkk1055.dll
c:\windows\system32\msosmhfp00.dll
c:\windows\system32\msosdohs00.dll
c:\windows\system32\msosping01.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msoscqit00.dll
c:\windows\system\lljy080426.exe
c:\windows\fonts\da1dde6940808f88e7a6603e213b28af\system\svchost.exe
c:\windows\system32\zjyqgaxsaplitlm.dll
c:\windows\system32\winini.exe
c:\windows\system32\5.exe
c:\windows\system32\oobe\iirjnerast.dll
c:\windows\system32\com\nhnnlnemtxz.dll
c:\windows\system32\rundll32.exe vmvreg32.dll,scan
c:\windows\system32\drivers\247o.sys
c:\windows\system32\drivers\8si4nw139n.sys
c:\windows\temp\tmp1e7.tmp
c:\windows\system32\ssdtti.sys
c:\windows\system32\drivers\1f4.tmp
c:\windows\system32\nessery.sys
c:\windows\system32\drivers\winsys.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\temp\tmp1f0.tmp
c:\windows\system32\drivers\hpmobiledisk.sys
c:\windows\system32\jqpkiweuoywch.dll
c:\program files\common files\cpush\cpush.dll
C:\WINDOWS\system32\ywg32.dll
2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{6E6CA8A1-81BC-4707-A54C-F4903DD70BAD}]    <C:\WINDOWS\system32\zgxfdx.dll>
[{EB71E0B3-E97D-4D30-8733-E28266467617}]    <C:\WINDOWS\system32\wyhesm.dll>
[{45AADFAA-DD36-42AB-83AD-0521BBF58C24}]    <C:\WINDOWS\system32\zjydcx.dll>
[{84143967-B645-4BFF-B873-DA1DC886E9A7}]    <C:\WINDOWS\system32\cedafb.dll>
[{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}]    <C:\WINDOWS\system32\hhrdxd.dll>
[{8C41B7F7-3168-400D-A702-0E7EFE0BA304}]    <C:\WINDOWS\system32\sgrefg.dll>
[{1AB1F65A-964F-4AE7-B254-05146A0E602E}]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys16.Sys>
[{dc546cb1-0be7-4957-98c5-469b55a6923d}]    <C:\WINDOWS\system32\ttQACQAC1038.dll>
[{29fab913-d0cd-477b-a3f0-3d7c3a90379b}]    <C:\WINDOWS\system32\ttVUFVUF1011.dll>
[{33d2503b-149b-4fc2-8e62-e2b472784949}]    <C:\WINDOWS\system32\dqWLVWLV1012.dll>
[{05922c2d-da84-48e8-a3e4-e797c58c39cf}]    <C:\WINDOWS\system32\ttEZZEZZ1046.dll>
[{c4bf46a2-1c05-427d-992f-4e24f7d57f68}]    <C:\WINDOWS\system32\ttNNBNNB1047.dll>
[{6ce08af1-5f70-4c1a-8d1a-8aba11619e87}]    <C:\WINDOWS\system32\ayFKKFKK1055.dll>
注意该项[AppInit_DLLs]修改：把<msosmhfp00.dll,msosdohs00.dll,msosping01.dll,msosmnsf00.dll,msoscqit00.dll>修改为<>即清空
[lljy_df]    <C:\WINDOWS\system\lljy080426.exe>
[TBMExe]    <C:\WINDOWS\Fonts\da1dde6940808f88e7a6603e213b28af\system\svchost.exe>

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项删除：
[Windows Presentation Foundation (WPF) / applications]    <C:\WINDOWS\System32\svchost.exe -k applications-->C:\WINDOWS\system32\ZjyqgAXsAplitlM.dll>
[COM+ Windows System / WinINI]    <C:\WINDOWS\system32\winini.exe>
[Windows XP SP2 Center / Windows XP SP2 Center]    <C:\WINDOWS\system32\5.exe>
[Windows Time / W32Time]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->c:\windows\system32\oobe\iirjnerast.dll>(此项目被篡改需要修复)
[Secondary Logon / seclogon]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\com\nhnnlnemtxz.dll>(此项目被篡改需要修复)
[Security Control / secctrl]    <c:\windows\system32\rundll32.exe vmvreg32.dll,scan>

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[247 / 247o]    <\SystemRoot\System32\DRIVERS\247o.sys>
[8si4nw139n / 8si4nw139n]    <\SystemRoot\system32\drivers\8si4nw139n.sys>
[ping / ping]    <\??\C:\WINDOWS\TEMP\tmp1E7.tmp>
[RESSDT / RESSDT]    <\??\C:\WINDOWS\system32\ssdtti.sys>
[NPF / NPF]    <\??\C:\WINDOWS\system32\drivers\1F4.tmp>
[Nessery / Nessery]    <\??\C:\WINDOWS\system32\Nessery.sys>
[Network Monitor Protocol Driver / Ndisprot]    <system32\DRIVERS\winsys.sys>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[cqit / cqit]    <\??\C:\WINDOWS\TEMP\tmp1F0.tmp>
[HPMobileDisk / HPMobileDisk]    <\??\C:\WINDOWS\system32\Drivers\hpmobiledisk.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\jqpkiweuoywch.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys16.Sys>
[CAdLogic Object]    <C:\Program Files\Common Files\CPUSH\cpush.dll>
[]    <C:\WINDOWS\system32\jqpkiweuoywch.dll>
[]    <C:\Program Files\Internet Explorer\PLUGINS\WinSys16.Sys>
[CAdLogic Object]    <C:\Program Files\Common Files\CPUSH\cpush.dll>

很想说,TNND的要中木马,也不能把机器搞慢了,像蜗牛一样的机器谁有兴趣去上呢?还盗个屁号啊!

简单说下方法:

1.断网,把网线(这招厉害,省事)

2.先用PE光盘进入系统(安全模式已损坏...),将临时目录和system32,windows目录下的29到现在日期的非正常文件全部删除

3.扫描LOG(用sreng)分析LOG,然后使用xdelbox删除文件

4.用金山清理助手修复安全模式,等损坏的注册表项目

5.建议最后用dr.web(大蜘蛛)确认下.

打完收工...OK了