很悲具的一件事,机器刚搬到新一代就中了Gbvgbv病毒
作者:admin 分类:WordPress 日期:03-09-2011
标签:Gbvgbv病毒 IFEO qmgr.dll XueTr 劫持 新一代.
0
昨天晚上刚进机房,由于是双线,所以特意加了个路由做双线跳转,在服务器上再装了一个VM,用来跑RTX,直接单线影射,然后主机跟VM都做内网,做到数据库安全,然后测试远程没问题就走了。
今天很杯具的事,远程上去发现有8080的外网反链,不用看中毒了,由于是裸机,什么都没装,刚挂上就中了,不知是系统的问题还是软件的问题,先不管,上网下杀软,才发现真的是很杯具,所有的杀毒软件跟杀软都打不开,马上装了传了些工具上去,XueTr进去一看IFEO给劫持了,文件还挺多的。
感染性病毒! [XueTr][IFEO]: 121 名称 劫持路径 文件厂商 360hotfix.exe ntsd -d 360rp.exe ntsd -d 360rpt.exe ntsd -d 360safe.exe ntsd -d 360safebox.exe ntsd -d 360sd.exe ntsd -d 360se.exe ntsd -d 360SoftMgrSvc.exe ntsd -d 360speedld.exe ntsd -d 360tray.exe ntsd -d afwServ.exe ntsd -d ast.exe ntsd -d AvastSvc.exe ntsd -d AvastUI.exe ntsd -d avcenter.exe ntsd -d avfwsvc.exe ntsd -d avgcsrvx.exe ntsd -d avgemc.exe ntsd -d avgnsx.exe ntsd -d avgnt.exe ntsd -d avgrsx.exe ntsd -d avgtray.exe ntsd -d avguard.exe ntsd -d avgwdsvc.exe ntsd -d avmailc.exe ntsd -d avp.exe ntsd -d avshadow.exe ntsd -d avwebgrd.exe ntsd -d bdagent.exe ntsd -d CCenter.exe ntsd -d ccSvcHst.exe ntsd -d dwengine.exe ntsd -d egui.exe ntsd -d ekrn.exe ntsd -d FilMsg.exe ntsd -d kavstart.exe ntsd -d kissvc.exe ntsd -d kmailmon.exe ntsd -d knsd.exe ntsd -d knsdsvc.exe ntsd -d knsdtray.exe ntsd -d knsdwsc.exe ntsd -d kpfw32.exe ntsd -d kpfwsvc.exe ntsd -d kpopserver.exe ntsd -d krnl360svc.exe ntsd -d KSafeSvc.exe ntsd -d KSafeTray.exe ntsd -d ksmgui.exe ntsd -d ksmsvc.exe ntsd -d kswebshield.exe ntsd -d kvexpert.exe ntsd -d KVMonXP.exe ntsd -d KVMonXP.kxp ntsd -d kvol.exe ntsd -d KVSrvXP.exe ntsd -d kvxp.exe ntsd -d kwatch.exe ntsd -d kwstray.exe ntsd -d kwsupd.exe ntsd -d kxedefend.exe ntsd -d kxesapp.exe ntsd -d kxescore.exe ntsd -d kxeserv.exe ntsd -d kxetray.exe ntsd -d livesrv.exe ntsd -d mcagent.exe ntsd -d mcmscsvc.exe ntsd -d McNASvc.exe ntsd -d Mcods.exe ntsd -d McProxy.exe ntsd -d McSACore.exe ntsd -d Mcshield.exe ntsd -d mcsysmon.exe ntsd -d mcvsshld.exe ntsd -d mfefire.exe ntsd -d mfevtps.exe ntsd -d MOBKbackup.exe ntsd -d MpfSrv.exe ntsd -d MPMon.exe ntsd -d MPSVC.exe ntsd -d MPSVC1.exe ntsd -d MPSVC2.exe ntsd -d msksrver.exe ntsd -d MsSvHost.exe ntsd -d QQPCAddWidget.exe ntsd -d QQPCMgr.exe ntsd -d QQPCMgr_tz_Setup.exe ntsd -d QQPConfig.exe ntsd -d QQPCRTP.EXE ntsd -d QQPCTray.exe ntsd -d QQPCUPDATE.EXE ntsd -d qutmserv.exe ntsd -d RavMonD.exe ntsd -d RavTask.exe ntsd -d RsAgent.exe ntsd -d Rsmgrsvc.exe ntsd -d rsnetsvr.exe ntsd -d RsTray.exe ntsd -d safeboxTray.exe ntsd -d ScanFrm.exe ntsd -d sched.exe ntsd -d seccenter.exe ntsd -d SfCtlCom.exe ntsd -d spideragent.exe ntsd -d SpIDerMl.exe ntsd -d spidernt.exe ntsd -d spiderui.exe ntsd -d SuperKiller.exe ntsd -d TMBMSRV.exe ntsd -d TmProxy.exe ntsd -d Twister.exe ntsd -d UfSeAgnt.exe ntsd -d upsvc.exe ntsd -d V3PScan.exe ntsd -d V3SP.exe ntsd -d vgchsvx.exe ntsd -d VPSvc.exe ntsd -d vsserv.exe ntsd -d zhudongfangyu.exe ntsd -d 修复工具.exe ntsd -d
当时没也在意,上网查了下,才发现这个是NB的Gbvgbv病毒,很多人都是重装了事,因为这家伙是感染病毒,不过服务器上没什么,加上在机房,我就远程操作了,用了syscheck去看了下,隐藏的很多东西在syscheck上面完全体现不出来,syscheck导出的文本查看也没有什么不正常的,用sreng2改时间2009进去看驱动服务才发现有一个不正常的服务,但在注册表却无法找到,本身认为XueT删了禁止再生就应没事,谁知重启N次还是不断的变化,且名子每次都不一样,用冰刃进去跟踪线程删了相关的东西,还是无效,排查……搞了三个多小时无效。
翻翻自己的工具箱,隐藏的服务看来还是要用gmer,FTP传上去,一扫,果然,晕示BITS及那个随机生成的两个注册表红色隐藏,其中特别是BITS服务下的qmgr.dll,我特意从GHOST中导了一个出来对了下大小,非常的不正常,哎,谁知我替换多次重启还是无效,本以为他是从system32的dllcache里还原的,谁知同时替换还是出错,自己就故做主张的拿文件监视工具跟踪下,查看日志,一点用都没,无招了,没办法,手工排查qmgr.dll,发现大小86016,就一个一个去查系统下对应的字节文件,以为是随机转换。
后来用XueT禁止进程还是生成了不对应的qmgr.dll才想起BITS的服务,进去结束模块之后查看更新的qmgr.dll大小终于正常,试下装杀软,成功!杯具的一天。
