Win32.Troj.OnlineGames.61096

Win32.Troj.Online来自Games.61096 最新变种的不完全处理方360百科案,该病毒通过sr银历整绝场生买政角eng日志扫描以后通常可以发现以下问题。

• 中文名称 Win32.Troj.OnlineGames.61096
• winsock胁持 sqmapi32.dll
• 境项挟持 IEXPLORE32.sys/.win
• 驱动加载项目 mssock.sys
• 病毒注入项目 addrcqhelp.dll

基本来自信息

　　winsock胁持----sqmapi32.dll

　　境项挟持----360百科IEXPLORE32.s听且沙直沙ys/.win

　　驱动加载项目----mssock.sys

　　病毒注入项目----addrcqhelp.dll

　　addrgjhelp.dll

　　addrmshelp.dll

　　allatl.dll

　　qdshm.dll

传播过程

　　2007-10-10 发现新病毒注入项目

　　cqatl.d动形课内路善厂根ll

　　msatl.dll

斯车饭　　qqsgatl.dll

　　通过sreng日志扫描以后通常可以发现以下问题项目

　　注册表启动项目参海务:

　　[HKEY_LO营十怕哪说空庆鱼封元CAL_MACH普粒掌值附海根喜此INE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　<{C5E87A05-F463-4841-B19E-DD3EC3862368}><C苗织范:\Program Files\Internet Explorer\IEXPLORE32.Sys> [N/A]

　　<{A45B标2C37-01D0-4D3E-BE5E-CC119B17BE9E}><C:\Program Files\Interne朝众井汽棉晶级齐段宣t Explorer\IEXPLORE32.win> [N/A]

　　<{3局钟矛治耐序务困搞研7C3125C-9CB6-4503-8F38-63D80ADEFA07}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins> [N/A]

　　<{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\WINDOWS\system32\rsmydpm.dll&g象压阻镇底职t; []

　　<{5B681598-AD5F-BC8C-77DC-7底职料注千错切告富48FAC8D3FB5}><C:\WINDOWS\system32\kafyez做概回介非课渐y.dll> [弦念赵言师到广度]

　　<{2上查960356A-458E-DE24-BD50-268F589A56A2}><C:\WINDOWS\system32\avwlbmn.dll> []

　　<{5唱加常入养听D47B341-43DF-4563-753F-345FFA3157D5}><C:\WINDOWS\system32\kvmxema.dll> [N/A]

　　<{4859245F-345D-BC13划论三-AC4F-145D47DA34F4}><C:\WINDOWS\system32\avzxdmn.d富飞ll> [N/A]

　　<{334345F1-DACF-3452-CB7D-4620F34A1533}><C:\WINDOWS\system32\rsztcpm.dll> [N/A]

　　<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32\kvdxcma.dll> [N/A]

　　2007-10-10 发现新病毒挟持项目

　　<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32\avwgcmn.dll> []

　　<{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll> [N/A]

　　<{2D561258-45F3-A451-F908-A258458226D2}><C:\WINDOWS\system32\kvdxsbma.dll> [N/A]

　　驱动加载项目:

　　[mssock / mssock][Stopped/Manual Start]

　　<\??\C:\WINDOWS\system32\mssock.sys><N/A>

　　[mseam / mseam]

　　<\??\C:\WINDOWS\system32\mseam.sys>

　　10-9 注:

　　最近出现比较多的是下面这个驱动 有时候两个都会出现

　　[mseam / mseam]

　　<\??\C:\WINDOWS\system32\mseam.sys>

　　Winsock 胁持项目:

　　MSAPI Tcpip [TCP/IP]

　　C:\WINDOWS\system32\sqmapi32.dll(, N/A)

　　MSAPI Tcpip [UDP/IP]

　　C:\WINDOWS\system32\sqmapi32.dll(, N/A)

　　MSAPI Tcpip [TCP/IP]

　　C:\WINDOWS\system32\qdshm.dll(, N/A)

　　MSAPI Tcpip [UDP/IP]

　　C:\WINDOWS\system32\qdshm.dll(, N/A)

　　10-9 注:

　　一般来说最近出现的变种 winsock基本就反应为sqmapi32.dll 和qdshm.dll中的一种修复方法好是一样的

　　注入其他进程的病毒文件

　　c:\windows\system32\sqmapi32.dll

　　c:\windows\system32\addrcqhelp.dll

　　c:\windows\system32\addrgjhelp.dll

　　c:\windows\system32\addrmshelp.dll

　　c:\windows\system32\allatl.dll

　　c:\windows\system32\qdshm.dll

　　10-10 几天发现的新的注入项目

　　C:\WINDOWS\system32\msatl.dll

　　C:\WINDOWS\system32\cqatl.dll

　　C:\WINDOWS\system32\qqsgatl.dll

　　10-9 注:

　　这个注入项目一般都没有改变 观察explorer的进程模块加载项目就可以找出来所有可疑项

　　(可以关注Sreng的正在运行的进程 explorer.exe进程的加载模块列表中文件描述为[N/A, ]

　　路径在C:\WINDOWS\system32\的模块

　　例如:

　　[PID: 1808 / Administrator][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180

　　(xpsp_sp2_rtm.040803-2158)]

　　[C:\WINDOWS\system32\sqmapi32.dll] [N/A, ]

　　[C:\WINDOWS\system32\qdshm.dll] [N/A, ]

　　[C:\WINDOWS\system32\allatl.dll] [N/A, ]

　　[C:\WINDOWS\system32\addrmshelp.dll] [N/A, ]

　　[C:\WINDOWS\system32\addrgjhelp.dll] [N/A, ]

　　[C:\WINDOWS\system32\addrcqhelp.dll] [N/A, ]

　　10-10 几天发现的另外一个例子

　　[PID: 1588 / xc][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180

　　(xpsp_sp2_rtm.040803-2158)]

　　[C:\WINDOWS\system32\sqmapi32.dll] [N/A, ]

　　[C:\WINDOWS\system32\msatl.dll] [N/A, ]

　　[C:\WINDOWS\system32\cqatl.dll] [N/A, ]

　　[C:\WINDOWS\system32\qqsgatl.dll] [N/A, ]

　　关于木马群一堆dll文件 请关注 启动项目管理的这里

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

　　<{2960356A-458E-DE24-BD50-268F589A56A2}><C:\WINDOWS\system32\avwlbmn.dll> []

　　<{4E32FA58-3453-FA2D-BC49-F340348ACCE4}><C:\WINDOWS\system32\rsmydpm.dll> []

　　<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32\avwgcmn.dll> []

　　<{334345F1-DACF-3452-CB7D-4620F34A1533}><C:\WINDOWS\system32\rsztcpm.dll> [N/A]

　　<{5D47B341-43DF-4563-753F-345FFA3157D5}><C:\WINDOWS\system32\kvmxema.dll> [N/A]

　　<{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}><C:\WINDOWS\system32\kvdxcma.dll> [N/A]

　　<{4859245F-345D-BC13-AC4F-145D47DA34F4}><C:\WINDOWS\system32\avzxdmn.dll> [N/A]

　　<{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll> [N/A]

　　<{2D561258-45F3-A451-F908-A258458226D2}><C:\WINDOWS\system32\kvdxsbma.dll> [N/A]

　　以上explorer.exe 进程和境项挟持里面谈到的 模块皆为病毒加载项目，可以添加到xdelbox的删除列表中

　　然后加上可能存在的驱动加载项目 这个病毒就可以自己清理了，注意并不是所有没有文件描述的文件都是病毒，

　　有文件描述的也不一定是良民，如果你不能确认请不要一冲动就删除了，可以到论坛发帖请其他朋友帮你分析下

　　[将方案保存文本放在桌面，没有操作完之前，不要打开任何网站、网页、QQ，不要进入任何分区。

　　预先下载好所有工具，看清楚步骤和要求。引自annygi ]

　　建议使用XDelBox删除以下文件:(XDelBox1.5下载) Xdelbox1.3操作

　　使用说明:删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，

　　选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质

　　(包括U盘，MP3，手机存储卡等)。[选择备份，勾选"抑制文件再生"有提示不存在该文件就忽略,继续添加其它文件]

　　复制内容到剪贴板

　　代码:

　　c:\windows\system32\sqmapi32.dll

　　c:\windows\system32\addrgjhelp.dll

　　c:\windows\system32\addrcqhelp.dll

　　c:\windows\system32\addrmshelp.dll

　　c:\windows\system32\allatl.dll

　　c:\windows\system32\qdshm.dll

　　c:\program files\internet explorer\iexplore32.win

　　c:\program files\internet explorer\iexplore32.sys

　　c:\windows\system32\kvdxcma.dll

　　c:\windows\system32\rsztcpm.dll

　　c:\windows\system32\avzxdmn.dll

　　c:\windows\system32\kvmxema.dll

　　c:\windows\system32\avwlbmn.dll

　　c:\windows\system32\kafyezy.dll

　　c:\windows\system32\rsmydpm.dll

　　c:\program files\common files\microsoft shared\msinfo\system6.ins

　　c:\windows\system32\mseam.sys

　　c:\windows\system32\mssock.sys

　　C:\WINDOWS\system32\avwgcmn.dll

　　C:\WINDOWS\system32\kawdbzy.dll

　　C:\WINDOWS\system32\sidjazy.dll

　　C:\WINDOWS\system32\swjqazc.dll

　　C:\WINDOWS\system32\kvdxsbma.dll

　　重要 你可以将xdelbox目录下的backup打包上传到可疑文件上传区。以供病毒工程师分析

　　重启以后删除注册表键值(打开 SREng ，依次点击"启动项目"->"注册表"，列表中显示注册表中启动信息内容。

　　点击选择需要删除的项目，然后点击"删除"按钮，弹出删除确认对话框，点击"是"删除，点击"否"取消。

　　引用:

　　[{A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E}] <C:\Program Files\Internet Explorer\IEXPLORE32.win>

　　[{C5E87A05-F463-4841-B19E-DD3EC3862368}] <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>

　　[{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}] <C:\WINDOWS\system32\kvdxcma.dll>

　　[{334345F1-DACF-3452-CB7D-4620F34A1533}] <C:\WINDOWS\system32\rsztcpm.dll>

　　[{4859245F-345D-BC13-AC4F-145D47DA34F4}] <C:\WINDOWS\system32\avzxdmn.dll>

　　[{5D47B341-43DF-4563-753F-345FFA3157D5}] <C:\WINDOWS\system32\kvmxema.dll>

　　[{2960356A-458E-DE24-BD50-268F589A56A2}] <C:\WINDOWS\system32\avwlbmn.dll>

　　[{5B681598-AD5F-BC8C-77DC-748FAC8D3FB5}] <C:\WINDOWS\system32\kafyezy.dll>

　　[{4E32FA58-3453-FA2D-BC49-F340348ACCE4}] <C:\WINDOWS\system32\rsmydpm.dll>

　　[{37C3125C-9CB6-4503-8F38-63D80ADEFA07}] <C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>

　　<{3A1247C1-53DA-FF43-ABD3-345F323A48D3}><C:\WINDOWS\system32\avwgcmn.dll> []

　　<{18847374-8323-FADC-B443-4732ABCD3781}><C:\WINDOWS\system32\sidjazy.dll> [N/A]

　　<{2D561258-45F3-A451-F908-A258458226D2}><C:\WINDOWS\system32\kvdxsbma.dll> [N/A]

　　删除以下服务或者驱动:(可以使用sreng完成，启动项管理--服务选项"驱动程序或服务选中后

　　然后勾选"隐藏已认证的微软项目" 然后将下面名称的服务删除(选中有问题的服务后，点"删除服务"，

　　点"设置"按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)

　　(不能删除的就禁用:启动类型改为disabled,点中修改启动类型，点设置)"

　　引用:

　　[mssock / mssock] <\??\C:\WINDOWS\system32\mssock.sys>

　　[mseam / mseam] <\??\C:\WINDOWS\system32\mseam.sys>

　　重要，不修复可能不能上网,推荐用金山清理专家2.0的自动修复修复下winsock 点击查看清理专家图解

　　引用:

　　Winsock 胁持项目:

　　MSAPI Tcpip [TCP/IP]

　　C:\WINDOWS\system32\sqmapi32.dll(, N/A)

　　MSAPI Tcpip [UDP/IP]

　　C:\WINDOWS\system32\sqmapi32.dll(, N/A)

　　MSAPI Tcpip [TCP/IP]

　　C:\WINDOWS\system32\qdshm.dll(, N/A)

　　MSAPI Tcpip [UDP/IP]

　　C:\WINDOWS\system32\qdshm.dll(, N/A)

　　使用以下的软件清理工具清理下系统里面可能存在的病毒或者恶意软件残余

　　金山清理专家2.0

　　windows清理小助手，

　　由于勾选了"抑制文件再生"被删除文件同一个地方会有相同的文件名字文件夹，(并且开机会自动打开这些文件夹，请忽略。)

　　请一一进去将与原来病毒同名文件夹删除即可。