新功能上线：客户端写博客，随时保存，图片批量贴　 IT北斗星争霸，看看咱博友的真面目！

win32.troj.enhookt.b.20520病毒的处理

2007-09-10 21:53:02

转自：铁军的博客

这个病毒的人突然多了起来，带毒文件是一堆DLL，这个病毒通过系统执行挂勾加载，和那个AV结者下载器非常相像，只不过这个病毒不再关闭杀毒软件了。中毒后最大的麻烦是清除，这个病毒通过映像劫持和系统执行挂勾来加载，即使启动系统到安全模式，病毒一样会执行。仍然会发现病毒，而难以清除掉。

清除这个病毒，除了杀毒软件，还需要几个辅助工具。比如Sreng和金山清理专家。对初级用户来说，清理专家更容易使用，报告也更简洁。

比如这个案例：
Sreng的扫描日志（节选）
映像支持：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><WinFormA9.dll> [N/A]

执行挂勾：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{1D47B341-43DF-4563-753F-345FFA3157D1}><C:\WINDOWS\system32\kvmxama.dll> [N/A]
    <{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> []
    <{1C87A354-ABC3-DEDE-FF33-3213FD7447C1}><C:\WINDOWS\system32\kvdxama.dll> [N/A]
    <{1598FF45-DA60-F48A-BC43-10AC47853D51}><C:\WINDOWS\system32\rarjapi.dll> []
    <{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll> [N/A]
    <{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll> [N/A]
    <{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> []
    <{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> []
    <{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll> []
    <{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll> [N/A]
    <{1A321487-4977-D98A-C8D5-6488257545A1}><C:\WINDOWS\system32\kapjazy.dll> [N/A]
    <{E3F426F6-8634-42A5-A29E-BC694A88FB7D}><C:\WINDOWS\system32\xyupri2.dll> []
    <{6E1ADD5A-DA47-4BDB-B38C-846973DC1D93}><C:\WINDOWS\system32\zxavast0.dll> []
    <{D12BC423-3713-224D-3F55-32B35C62B11D}><C:\WINDOWS\system32\WinFormA9.dll> []
    <{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins> [N/A]

服务：
[systems / systems][Running/Auto Start]
<C:\WINDOWS\system32\126.exe><Microsoft Corporatio>（这个病毒伪造了微软的签名）

病毒注入了多个正常程序的线程，以Explorer.exe为例：
[PID: 1768 / new][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
    [C:\WINDOWS\system32\kvmxbma.dll] [N/A, ]
    [C:\WINDOWS\system32\rsztapm.dll] [N/A, ]
    [C:\WINDOWS\system32\rarjapi.dll] [N/A, ]
    [C:\WINDOWS\system32\rsmyapm.dll] [N/A, ]
    [C:\WINDOWS\system32\avwlamn.dll] [N/A, ]
    [C:\WINDOWS\system32\xyupri2.dll] [N/A, ]
    [C:\WINDOWS\system32\zxavast0.dll] [N/A, ]
    [C:\WINDOWS\system32\WinFormA9.dll] [N/A, ]
    [C:\WINDOWS\system32\yfmrafjoty.dll] [N/A, ]
    [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [C:\WINDOWS\system32\nvshell.dll] [, ]
    [C:\WINDOWS\system32\isapir.dll] [N/A, ]
    [C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]

修改winsock
==================================
Winsock 提供者
MSAFD ICMP
    C:\WINDOWS\system32\isapir.dll(, N/A)
MSAFD ICMP
    C:\WINDOWS\system32\isapir.dll(, N/A)

一个完整的Sreng日志一般在50KB左右，没有经验的人看这个如同天书。

清理专家2.0

对于清理专家来说，在全面检测中，这些项目都非常直观。并且联机检查安全项的功能，直接就会报告上面这些DLL是未知项。分析清理专家的报告，就简洁多了（这两份报告并非同一台机器，样本有所不同，病毒名是一样的，也说明这个病毒生成的文件是多个）

; 执行挂钩（ShellExecuteHooks）
70 - C:\WINDOWS\system32\kafyczy.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\avwlamn.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\kafybzy.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\rarjapi.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\kvmxbma.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\rsjzapm.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\kvdxbma.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\avzxamn.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\rsztapm.dll - (NULL) - 0.0.0.0
70 - C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins - (NULL) - 0.0.0.0

; 映像劫持（Image File Execution Options）

; 开机自启动程序
38 - ; D:\Program Files\flyer\flyer.exe - (NULL) - 0.0.0.0

; 系统服务
60 - C:\WINDOWS\system32\systems.exe - Microsoft Corporatio - 5.1.2600.2180

; 当前进程
50 - C:\WINDOWS\system32\systems.exe - Microsoft Corporatio - 5.1.2600.2180
51 - C:\WINDOWS\system32\avwlast.exe - (NULL) - 0.0.0.0
51 - C:\WINDOWS\system32\kafyczy.dll - (NULL) - 0.0.0.0
50 - C:\WINDOWS\system32\kafycaz.exe - (NULL) - 0.0.0.0
50 - C:\WINDOWS\system32\rsjzasp.exe - (NULL) - 0.0.0.0
51 - C:\WINDOWS\system32\avzxamn.dll - (NULL) - 0.0.0.0
50 - C:\WINDOWS\system32\avzxast.exe - (NULL) - 0.0.0.0
51 - C:\WINDOWS\system32\rsztapm.dll - (NULL) - 0.0.0.0
50 - C:\WINDOWS\system32\rsztasp.exe - (NULL) - 0.0.0.0

在清理专家的界面上能清晰表现出执行挂勾的映像劫持（以这张图为例，可以看看执行挂勾和映像劫持）被win32.troj.enhookt.b.20520病毒入侵的机器会发现这个列表很长，评估为病毒或未知。

杀毒
可以使用清理专家配合毒霸一起使用（清理专家不枉杀毒伴侣的称号），如果你是其它杀毒软件的用户，一样可以使用清理专家帮你搞定这个病毒。

方法还是很简单，通过上面的方法，以及杀毒软件的报告（会报告病毒文件具体的路径，杀不掉的记下来，或者看日志），按图索骥就找到病毒文件所在，再拖放到文件粉碎器的窗口，直接点击彻底删除，然后重启，在上面那个界面中，右键点击那些不存在的加载信息（因为文件已经删除，程序将显示找不到文件），再点击清除此项。

然后用清理专家百宝箱中的LSP修复，工具，应该能看到异常，点击自动修复，这个病毒就解决了。

杀毒要领：

病毒在运行，删除失败时，清理专家的文件粉碎器可以很好的解决这个问题，相对而言，清理专家更适合初学者独立解决问题。操作门槛较低，也相对安全。

上一篇感染下载者logogo.exe的分析　　下一篇 Worm.Win32.Agent.t分析

类别：就这样 ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

yuncx

2007-09-19 12:57:19

以下为网友 sreng 日志里面出现过的执行挂钩项注意只是一个梗概不代表你的系统里面也存在这么多的病毒加载项目
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1859245F-345D-BC13-AC4F-145D47DA34F1}><C:\WINDOWS\system32\avzxamn.dll> []
<{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> []
<{1960356A-458E-DE24-BD50-268F589A56A1}><C:\WINDOWS\system32\avwlamn.dll> []
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> []
<{D12BC423-3713-224D-3F55-32B35C62B11D}><C:\WINDOWS\system32\WinFormA9.dll> []
<{E3F426F6-8634-42A5-A29E-BC694A88FB7D}><C:\WINDOWS\system32\xyupri0.dll> [N/A]
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}><C:\WINDOWS\system32\kvdxbma.dll> []
<{28907901-1416-3389-9981-372178569982}><C:\WINDOWS\system32\kawdbzy.dll> []
<{14783410-4F90-34A0-7820-3230ACD05F41}><C:\WINDOWS\system32\raqjapi.dll> [N/A]
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll> [N/A]
<{1A321487-4977-D98A-C8D5-6488257545A1}><C:\WINDOWS\system32\kapjazy.dll> [N/A]
<{37D81718-1314-5200-2597-587901018073}><C:\WINDOWS\system32\kaqhczy.dll> [N/A]
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}><C:\WINDOWS\system32\rsmyapm.dll> []
<{E3F426F6-8634-42A5-A29E-BC694A88FB7D}><C:\WINDOWS\system32\xyupri1.dll> []
<{2D47B341-43DF-4563-753F-345FFA3157D2}><C:\WINDOWS\system32\kvmxbma.dll> []
[{6B3FCDC8-E5C7-477a-817E-72865A7758AE}]<C:\WINDOWS\Winhelp.dll>
<{798977F1-34FC-4DDD-AF6D-1B5C196B4EB4}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins> []
[{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}]<C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>
AppInit_DLLs项目正常情况下不加载程序的
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kawdbzy.dll> [N/A]
<AppInit_DLLs><kapjazy.dll> []
其他启动项目

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tpfnf2]
<WinlogonNotify: tpfnf2><notifyf2.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tphotkey]
<WinlogonNotify: tphotkey><tphklock.dll> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<RavRuneip><C:\WINDOWS\system32\RacvSvc.EXE vcksdkqxdk.dll,HFanMa> [N/A
<w><%SystemRoot%\WinRaR.exe> [N/A]

服务加载项
[systems / systems] <C:\WINDOWS\system32\systems.exe>
[systems / systems][Running/Auto Start]
<C:\WINDOWS\system32\126.exe><Microsoft Corporatio>（这个病毒伪造了微软的签名）

以下为网友金山清理专家的导出日志

; 执行挂钩（ShellExecuteHooks）
70 - C:\WINDOWS\system32\UFO.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\kafyczy.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\kafybzy.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\rarjapi.dll - (NULL) - 0.0.0.0
70 - C:\WINDOWS\system32\ratbbpi.dll - (NULL) - 0.0.0.0

; 开机自启动程序
38 - C:\WINDOWS\sourro.exe - (NULL) - 0.0.0.0
38 - C:\WINDOWS\WinRaR.exe - (NULL) - 0.0.0.0
38 - C:\Program Files\NetMeeting\avpqqsg.exe - (NULL) - 0.0.0.0
38 - C:\WINDOWS\winadr.exe - (NULL) - 0.0.0.0

; 浏览器辅助对象(BHO)
41 - C:\WINDOWS\system32\Macromed\Flash\Flasher.dll - (NULL) - 0.0.0.0
41 - C:\WINDOWS\system32\svrhost.dll - (NULL) - 0.0.0.0
41 - C:\PROGRA~1\INTERN~1\PLUGINS\cfg.dll - (NULL) - 0.0.0.0
; 系统服务
60 - C:\WINDOWS\system32\systems.exe - Microsoft Corporatio - 5.1.2600.2180
60 - C:\WINDOWS\system32\usbcamb.exe - (NULL) - 0.0.0.0
60 - C:\WINDOWS\system32\D55056CA.EXE - Microsoft Corporation - 0.0.0.0
60 - C:\WINDOWS\system32\serdvet.exe - (NULL) - 0.0.0.0
60 - C:\WINDOWS\system32\94F3F126.EXE -k - (NULL) - 0.0.0.0

建议下载金山清理专家2.0全面诊断以后导出日志,然后关注下执行挂钩（ShellExecuteHooks) 和其他可疑项目
你在进行以下操作的时候务必先进行可疑文件上传工作,请你下载金山清理专家2.0 系统全面检测以后上传所有可疑文件

[将方案保存文本放在桌面，没有操作完之前，不要打开任何网站、网页、QQ，不要进入任何分区。
预先下载好所有工具，看清楚步骤和要求。引自annygi ]

建议使用XDelBox删除以下文件：(XDelBox1.5下载) Xdelbox1.3操作
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。[选择备份，勾选“抑制文件再生”有提示不存在该文件就忽略,继续添加其它文件]

C:\WINDOWS\sourro.exe
C:\WINDOWS\WinRaR.exe
C:\WINDOWS\winadr.exe
C:\WINDOWS\Winhelp.dll
C:\WINDOWS\system32\126.exe
C:\WINDOWS\system32\RacvSvc.EXE
C:\WINDOWS\system32\systems.exe
C:\WINDOWS\system32\usbcamb.exe
C:\WINDOWS\system32\D55056CA.EXE
C:\WINDOWS\system32\serdvet.exe
C:\WINDOWS\system32\94F3F126.EXE
C:\WINDOWS\system32\avzxamn.dll
C:\WINDOWS\system32\rsztapm.dll
C:\WINDOWS\system32\avwlamn.dll
C:\WINDOWS\system32\rsmyapm.dll
C:\WINDOWS\system32\WinFormA9.dll
C:\WINDOWS\system32\xyupri0.dll
C:\WINDOWS\system32\kvdxbma.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzapm.dll
C:\WINDOWS\system32\kapjazy.dll
C:\WINDOWS\system32\kaqhczy.dll
C:\WINDOWS\system32\rsmyapm.dll
C:\WINDOWS\system32\xyupri1.dll
C:\WINDOWS\system32\kvmxbma.dll
c:\windows\system32\notifyf2.dll
c:\windows\system32\tphklock.dll
c:\windows\system32\vcksdkqxdk.dll
C:\WINDOWS\system32\UFO.dll
C:\WINDOWS\system32\kafyczy.dll
C:\WINDOWS\system32\kafybzy.dll
C:\WINDOWS\system32\rarjapi.dll
C:\WINDOWS\system32\ratbbpi.dll
C:\WINDOWS\system32\svrhost.dll
C:\WINDOWS\system32\Macromed\Flash\Flasher.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins> []
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys>
C:\Program Files\NetMeeting\avpqqsg.exe
C:\PROGRA~1\INTERN~1\PLUGINS\cfg.dll
建议重启以后使用金山清理专家修复以下项目中的病毒残余
; 执行挂钩（ShellExecuteHooks）
; 开机自启动程序
; 浏览器辅助对象(BHO)
; 系统服务

编辑 AppInit_DLLs的值为空点击查看图解

使用以下的软件清理工具清理下系统里面可能存在的病毒或者恶意软件残余
金山清理专家2.0
windows清理小助手，
恶意软件清理助手
超级兔子网络卫士

yuncx

2007-09-19 12:58:01

以上评论转自：http://bbs.duba.net/thread-21830382-1-1.html

yuncx

2007-09-19 13:05:39

如果图片无法查看。。。可以查看原来的地址。。。我这里可以看到。。。

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：