评论：清除“XP星号密码查看器”的病毒

来自：shian

shian — Thu, 03 Dec 2009 07:31:13 +0000

哈哈，谢谢楼主的分享
我也是因为中了星号密码查看器注入的dll
经过用sreng按照楼主提供的方法查找
发现了一下两个可疑dll
[E:\WINDOWS\system32\kgdsw32.dll] [Microsoft Corporation, 6.280.0110]
[E:\WINDOWS\system32\vb6chs.dll] [Microsoft Corporation, 6.00.8988]
用virscan扫面，果然kgdsw32.dll有20个杀软报毒
看来这个东西升级了，名字随机，只有看版本号才能确定
http://virscan.org/report/af967b75c823cddcd62d53a1f1548bae.htm

vb6chs,dll本身没毒
不知道按照
（1）开始-运行：cmd，进入命令提示行。
　　（2）执行：taskkill /f /im explorer.exe，终止进程explorer.exe。
　　（3）执行：regsvr32 /u c:\windows\system32\kgdsw32.dll，卸载kgdsw32.dll。
　　（4）执行：del c:\windows\system32\kgdsw32.dll，删除kgdsw32.dll。
　　（5）执行：explorer，运行explorer.exe。
这样的步骤是否能够解决，还有就是我的电脑也是右击会触发，据说是被HOOK了，不知道是否就是这个所为？

来自：duil

duil — Fri, 20 Nov 2009 09:08:54 +0000

删除 msideb.dll 服务及程序,问题终于解决,这下清净了,谢谢!

来自：duil

duil — Wed, 18 Nov 2009 02:28:40 +0000

我删除了C:\Windows\system32\mshtmleh.dll,但是仍然有这样的现象,下面是我的SReng日志,麻烦帮我看一下,谢谢
[PID: 2360 / zhuzhy][C:\Program Files\Internet Explorer\IEXPLORE.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll] [Adobe Systems Incorporated, 6.0.1.2003110300] [C:\WINDOWS\system32\msideb.dll] [Microsoft Corporation, 6.2800.1100] [C:\WINDOWS\system32\urlFilter.dll] [Beijing Rising Information Technology Co., Ltd., 6, 0, 0, 15] [C:\Program Files\Rising\AntiSpyware\UrlRule.dll] [Beijing Rising Information Technology Co., Ltd., 1.0.0.15] [C:\Program Files\GetRight\XX2GR.DLL] [Headlight Software, Inc., 5.1]
———————————–
应该不是这个木马，单单从剩下的扫描日志来看，msideb.dll比较可疑。

来自：Ryan

Ryan — Fri, 23 Oct 2009 02:00:28 +0000

谢谢~果然是msmxtg.dll

来自：匿名

匿名 — Mon, 19 Oct 2009 14:43:07 +0000

谢谢!终于找到解决办法了,我分析后的文件是mgqts.dll,上传到http://www.virustotal.com分析,有15个杀软报毒,这下世界应该清静了.

来自：胡杨

胡杨 — Mon, 19 Oct 2009 01:27:03 +0000

点击右键触发修改主页行为，那应该也是中了某恶意插件吧。

来自：胡杨

胡杨 — Mon, 19 Oct 2009 01:25:42 +0000

[C:\Windows\system32\msmxtg.dll] [Microsoft Corporation, 6.280.0110]
[C:\Windows\system32\vb6chs.dll] [Microsoft Corporation, 6.00.8988]
应该是msmxtg.dll这个文件，这个恶意插件是VB编的，所以vb6chs.dll会一起加载，这个6.280.0110的版本号也和这个恶意插件一样。
卸载方法也是一样，只不过把muerqs.dll换成msmxtg.dll而已。
另：你上传的SREng日志被WP过滤后不全，你自己再检查下启动项、文件关联、服务……

来自：匿名

匿名 — Sun, 18 Oct 2009 21:56:47 +0000

我的是WIN 7 ，在桌面点右键就会有修改主页行为。

来自：匿名

匿名 — Sun, 18 Oct 2009 15:28:48 +0000

下面是SREng的日志，麻烦看下哈，O(∩_∩)O谢谢：
[PID: 960 / Ryan][C:\Windows\Explorer.EXE] [(Verified) Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\Program Files\Common Files\TortoiseOverlays\TortoiseOverlays.dll] [http://tortoisesvn.net, 1, 0, 4, 11886]
[C:\Program Files\TortoiseSVN\bin\TortoiseStub.dll] [http://tortoisesvn.net, 1, 5, 8, 15348]
[C:\Program Files\TortoiseSVN\bin\TortoiseSVN.dll] [http://tortoisesvn.net, 1, 5, 8, 15348]
[C:\Program Files\TortoiseSVN\bin\libapr_tsvn.dll] [Apache Software Foundation, 1.2.12]
[C:\Program Files\TortoiseSVN\bin\libaprutil_tsvn.dll] [Apache Software Foundation, 1.2.12]
[C:\Program Files\TortoiseSVN\bin\intl3_tsvn.dll] [Free Software Foundation, 0.14.4]
[C:\Windows\system32\ATL71.DLL] [Microsoft Corporation, 7.10.6041.0]
[C:\Windows\system32\MSVCP71.dll] [Microsoft Corporation, 7.10.3077.0]
[C:\Windows\system32\MSVCR71.dll] [Microsoft Corporation, 7.10.3052.4]
[C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll] [深圳市迅雷网络技术有限公司, 5.9.6.1018]
[C:\Users\Public\Thunder Network\Thunder_E793D02D-7DE3-47BF-95B9-60317F453A15_\Components\ResWorker\DsBho_00.dll] [深圳市迅雷网络技术有限公司, 1, 0, 0, 26]
[C:\Users\Public\Thunder Network\Thunder_E793D02D-7DE3-47BF-95B9-60317F453A15_\Components\ResWorker\DataProcessor_00.dll] [深圳市迅雷网络技术有限公司, 1, 0, 0, 20]
[C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll] [深圳市迅雷网络技术有限公司, 5.9.6.1018]
[C:\Program Files\Unlocker\UnlockerCOM.dll] [N/A, ]
[C:\Windows\system32\msmxtg.dll] [Microsoft Corporation, 6.280.0110]
[C:\Windows\system32\vb6chs.dll] [Microsoft Corporation, 6.00.8988]
[C:\Program Files\Bonjour\mdnsNSP.dll] [Apple Inc., 1,0,6,2]
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
[C:\Program Files\IDM Computer Solutions\UltraEdit\ue32ctmn.dll] [, 1, 0, 0, 4]
[C:\Windows\system32\YouKuDesktopShell.dll] [www.youku.com, 1.2.7.1700]
[D:\Soft\ESET\shellExt.dll] [ESET, 4.0.447.1 ]
[C:\Program Files\Tudou\iTudou\TudouUpload.dll] [www.Tudou.com, 1.1.0.0]
[C:\Program Files\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.dll] [Adobe Systems Inc., 9.1.0.2009022700]
[C:\Windows\WinSxS\x86_microsoft.vc80.mfc_1fc8b3b9a1e18e3b_8.0.50727.4053_none_cbf21254470d8752\MFC80U.DLL] [Microsoft Corporation, 8.00.50727.4053]
[C:\Windows\WinSxS\x86_microsoft.vc80.mfcloc_1fc8b3b9a1e18e3b_8.0.50727.4053_none_03ca5532205cb096\MFC80CHS.DLL] [Microsoft Corporation, 8.00.50727.4053]
[C:\Program Files\Adobe\Acrobat 9.0\Acrobat Elements\ContextMenu.chs] [Adobe Systems Inc., 9.1.0.2009022700]
[C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiacmxx.dll] [, 2, 0, 0, 0]
[C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\atiamCHS.dll] [Advanced Micro Devices, Inc., 6.14.10.2001]
[C:\Windows\system32\icm32.dll] [Microsoft Corporation, 6.0.6000.16386 (vista_rtm.061101-2205)]
[C:\Program Files\UltraISO\isoshell.dll] [EZB Systems, Inc., 1, 0, 0, 2]

———————————
我修改了下，只保留explorer.exe的相关信息。

来自：胡杨

胡杨 — Sun, 18 Oct 2009 01:35:05 +0000

首先，你不一定中得是这种病毒，所以不一样。
其次，DLL模块可能不是注入到explorer.exe中。
最大的可能，就是你没查清楚，可疑的模块你没发现。
你用SREng仔细检查下，病毒激活不止DLL注入一种模式，你也可以把SREng的日志发上来给我看看。