hehfdvi.exe和gdaxqhm.exe

显示全部楼层 · 发表于 2007-6-14 14:03:25

同学上网的时候中毒了,卡巴当时报了三个毒,然后就自动重启.
重启之后cpu利用率特别高,一看是cmd.exe,
可疑经常三个进程hehfdvi.exe,gdaxqhm.exe,cmdbcs.exe
这两个上网搜不到相关的信息.只好找了一下cmd.exe的解决方法.

按照这个搞的cmd.exe
1、从注册表里删除病毒添加的ShellExecuteHooks信息：打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]，

应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值，的确找到了一个,依次按步骤2检查它们；

2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下.

之后把那个可疑键值就删了.

cmd.exe可以结束,结束了之后cpu利用率下降了很多,进程cmdbcs.exe就没了.

但是进程hehfdvi.exe,gdaxqhm.exe,关了之后自动重新启动.
启动项也是,删除之后,还是会自动重新添加.

卡巴已经被改到1980年6点多,分没改.时间改过来,启动卡巴的时候,gdaxqhm.exe说有问题,需要关闭,开不了.用screng 和冰刃也都是改了名字才可以运行,用冰刃关进程也关不掉.而且它们的名字不是进程的名字,对应为nahpwiq---gdaxqhm.exe,tckflml---hehfdvi.exe.

症状:
1.打开系统c盘比较快,其他的盘打开就很慢,而且在从新窗口打开;
2.会加载所有的启动项;
3.进安全模式进不了,蓝屏,代码为0x0000007B;
4.创建过系统还原,但是还原不了;
5.显示不了隐藏文件,用rar看的隐藏文件.

我把样本和扫描日志的图片传上来,不知道还要不要dll文件,搜索的只有这些了.cmdbcs有个dll.

后来用ewidio扫描,终于把毒删除了,进程也没了.就是注册表里还有很多,一个一个删完了.

卡巴的日志

2007-6-14 9:42:21       从未执行过全盘扫描。建议您尽快执行一次全盘扫描。
1992-6-14 10:01:02       授权许可文件激活日期错误。
1980-11-15 6:13:43       进程  (PID 2940) 尝试访问卡巴斯基反病毒软件 6.0 进程 (PID 1204), 已被自我保护功能阻止。
1980-11-15 6:13:43       进程  (PID 2940) 尝试访问卡巴斯基反病毒软件 6.0 进程 (PID 1812), 已被自我保护功能阻止。
2007-6-14 10:06:37       文件 C:\WINDOWS\system32\Kvsc3.dll/Petite: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.uz
2007-6-14 10:06:37       已经检测到安全威胁。建议您立即处理它们。
2007-6-14 10:06:39       运行进程 C:\WINDOWS\system32\sch0st9.exe: 检测到新变种风险软件 Trojan.generic
2007-6-14 10:06:40       文件 C:\WINDOWS\system32\Kvsc3.dll/Petite: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.uz
2007-6-14 10:06:42       文件 C:\WINDOWS\system32\Kvsc3.dll/Petite: 未清除, 被用户跳过
2007-6-14 10:06:46       文件 C:\WINDOWS\system32\Kvsc3.dll/Petite: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.uz
2007-6-14 10:06:47       文件 C:\WINDOWS\system32\Kvsc3.dll 将在系统重启后删除
2007-6-14 10:06:48       文件 C:\WINDOWS\system32\mh113.dll: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.bs
2007-6-14 10:06:48       已经检测到安全威胁。建议您立即处理它们。
2007-6-14 10:06:49       文件 C:\WINDOWS\system32\mh113.dll 将在系统重启后删除
2007-6-14 10:06:50       文件 C:\WINDOWS\system32\Kvsc3.dll/Petite: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.uz
2007-6-14 10:06:54       文件 C:\WINDOWS\system32\Kvsc3.dll/Petite: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.uz
2007-6-14 10:06:56       文件 c:\windows\kvsc3.exe/PE_Patch/UPack: 检测到木马程序 Trojan-PSW.Win32.OnLineGames.uz
2007-6-14 10:06:56       已经检测到安全威胁。建议您立即处理它们。
2007-6-14 10:06:57       启动对象 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kvsc3: 删除
2007-6-14 10:06:58       文件 c:\windows\kvsc3.exe: 删除

但进安全模式还是蓝屏,代码不变.
达人帮忙解决一下拉.

样本我忘了加密码,小心.

[ 本帖最后由倒数第零于 2007-6-14 14:10 编辑 ]

显示全部楼层 · 发表于 2007-6-14 14:08:26

Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\hehfdvi.rar'
C:\Documents and Settings\Administrator\My Documents\
  hehfdvi.rar
[0] Archive type: RAR
--> hehfdvi.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [WARNING] Infected files in archives cannot be repaired!
      [WARNING] The file was ignored!
Begin scan in 'C:\Documents and Settings\Administrator\My Documents\cmdbcs.rar'
C:\Documents and Settings\Administrator\My Documents\
  cmdbcs.rar
[0] Archive type: RAR
--> cmdbcs.dll
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING] Infected files in archives cannot be repaired!
--> cmdbcs.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING] Infected files in archives cannot be repaired!
      [WARNING] The file was ignored!
Begin scan in 'C:\Documents and Settings\Administrator\My Documents\gdaxqhm.rar'
C:\Documents and Settings\Administrator\My Documents\
  gdaxqhm.rar
[0] Archive type: RAR
--> gdaxqhm.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [WARNING] Infected files in archives cannot be repaired!
      [WARNING] The file was ignored!

End of the scan: 2007年6月13日  23:10
Used time: 00:09 min

The scan has been done completely.

   0 Scanning directories
   7 Files were scanned
   4 viruses and/or unwanted programs were found
   2 classified as suspicious:
   0 files were deleted
   0 files were repaired
   0 files were moved to quarantine
   0 files were renamed
   0 Files cannot be scanned
   1 Files not concerned
   3 Archives were scanned
   7 Warnings
   0 Notes
   0 Hidden objects were found

扫描日志
NOD32版本 2328 (20070613) NT
命令行： C:\Documents and Settings\Administrator\My  ?
?Documents\cmdbcs.rar C:\Documents and Settings\ ?
?Administrator\My Documents\gdaxqhm.rar C:\Documents and  ?
?Settings\Administrator\My Documents\hehfdvi.rar
正在检查NOD32.EXE文件的CRC：状态正常
D:\Eset\nod32.exe - 是正常的
扫描系统内存中：没有进行 (选项已关闭)
扫描MBR及引导区中：没有进行 (选项已关闭)
日期： 13.6.2007  时间：23:11:01
已关闭反隐藏功能.
已扫描的磁盘，文件夹及文件：C:\Documents and Settings\ ?
?Administrator\My Documents\cmdbcs.rar; C:\Documents and  ?
?Settings\Administrator\My Documents\gdaxqhm.rar; C:\ ?
?Documents and Settings\Administrator\My Documents\ ?
?hehfdvi.rar
C:\Documents and Settings\Administrator\My Documents\ ?
?cmdbcs.rar >>RAR >>cmdbcs.dll - 是正常的
C:\Documents and Settings\Administrator\My Documents\ ?
?cmdbcs.rar >>RAR >>cmdbcs.exe - 是正常的
C:\Documents and Settings\Administrator\My Documents\ ?
?gdaxqhm.rar >>RAR >>gdaxqhm.exe - Win32/Delf.NDF  ?
?蠕虫的变种
C:\Documents and Settings\Administrator\My Documents\ ?
?hehfdvi.rar >>RAR >>hehfdvi.exe - Win32/Delf.NDF  ?
?蠕虫的变种
已扫描的文件数目：4
已发现的病毒数目：2
完成时间： 23:11:01 总扫描时间：0 秒 (00:00:00)

[Scan path] C:\Documents and Settings\Administrator\My Documents\hehfdvi.rar
>C:\Documents and Settings\Administrator\My Documents\hehfdvi.rar\hehfdvi.exe - Ok
C:\Documents and Settings\Administrator\My Documents\hehfdvi.rar - Ok

[Scan path] C:\Documents and Settings\Administrator\My Documents\cmdbcs.rar
>C:\Documents and Settings\Administrator\My Documents\cmdbcs.rar\cmdbcs.dll infected with Trojan.PWS.Gamania
>C:\Documents and Settings\Administrator\My Documents\cmdbcs.rar\cmdbcs.exe infected with Trojan.PWS.Gamania
C:\Documents and Settings\Administrator\My Documents\cmdbcs.rar - archive contains infected objects

[Scan path] C:\Documents and Settings\Administrator\My Documents\gdaxqhm.rar
>C:\Documents and Settings\Administrator\My Documents\gdaxqhm.rar\gdaxqhm.exe - Ok
C:\Documents and Settings\Administrator\My Documents\gdaxqhm.rar - Ok

显示全部楼层 · 发表于 2007-6-14 14:11:11

江民杀毒软件报告文件

北京江民新科技术有限公司

扫描引擎 10.00.600
病毒库日期 2007-06-13
更新日期 2007-06-14

扫描目标 C:\Documents and Settings\Administrator\桌面\cmdbcs.rar

扫描目标 C:\Documents and Settings\Administrator\桌面\gdaxqhm.rar

扫描目标 C:\Documents and Settings\Administrator\桌面\hehfdvi.rar

开始时间 2007-06-14 14:13:03

在 C:\Documents and Settings\Administrator\桌面\gdaxqhm.rar->gdaxqhm.exe 中发现 Trojan/PSW.GamePass.neb 病毒, 已删除
在 C:\Documents and Settings\Administrator\桌面\hehfdvi.rar->hehfdvi.exe 中发现 Trojan/PSW.GamePass.neb 病毒, 已删除
正常结束。

扫描结果:
               文件数 :624                               病毒体 :2
               删除 :2                                  解毒 :0
扫描速度(千字节/秒) :7945                            扫描时间 :00:00:21
扫描文件速度(个/秒) :29

== == ==       == == == == == == == == == == == == == == == == == == == == == == ==    == == == == == ==

显示全部楼层 · 发表于 2007-6-14 14:11:12

kv不报第一个报那两个

显示全部楼层 · 发表于 2007-6-14 14:44:40

Virus: Trojan-PSW.Win32.OnLineGames.bs (2x)

Virus found while downloading Web content.

Address: bbs.kafan.cn

2007-6-14,14:46:24 [WARNING] Is the Trojan horse TR/Delphi.Downloader.Gen!
  C:\WINDOWS\Temp\_avast4_\unp29380019.tmp
2007-6-14,14:46:42 [WARNING] Is the Trojan horse TR/Agent.24982!
  C:\Documents and Settings\user\Local Settings\Temp\_avast4_\unp82343441.tmp

2007-6-14,14:47:28 [WARNING] Is the Trojan horse TR/Delphi.Downloader.Gen!
  C:\WINDOWS\Temp\_avast4_\unp233555030.tmp

显示全部楼层 · 发表于 2007-6-14 14:50:19

第2个和第3个,费尔启发,不报第一个

显示全部楼层 · 发表于 2007-6-14 15:02:07

kv2007刚升级后cmdbcs已可杀。
在 C:\Documents and Settings\Administrator\桌面\cmdbcs.rar->cmdbcs.exe 中发现 Trojan/PSW.GamePass.nst 病毒, 已删除

显示全部楼层 · 发表于 2007-6-14 15:14:41

detected: Trojan program Trojan-PSW.Win32.OnLineGames.bs File: C:\Documents and Settings\Owner\×ÀÃæ\cmdbcs.rar/cmdbcs.dll
detected: Trojan program Trojan-PSW.Win32.OnLineGames.bs File: C:\Documents and Settings\Owner\×ÀÃæ\cmdbcs.rar/cmdbcs.exe
detected: virus Worm.Generic (modification) File: C:\Documents and Settings\Owner\×ÀÃæ\gdaxqhm.rar/gdaxqhm.exe
detected: virus Worm.Generic (modification) File: C:\Documents and Settings\Owner\×ÀÃæ\hehfdvi.rar/hehfdvi.exe

显示全部楼层 · 发表于 2007-6-14 15:19:53

后两个都在改时间。

显示全部楼层 · 发表于 2007-6-14 16:03:48

病毒: Trojan-PSW.Win32.OnLineGames.bs (2x)
文件: cmdbcs[1].rar
目录: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\VM1NGYS8
进程: iexplore.exe

[病毒样本] hehfdvi.exe和gdaxqhm.exe

本帖子中包含更多资源