Jiunn’s mind + information collection

最近遇到一個特別的病毒，只知道是trojan.onlinegames系列的變種。

現在正在想辦法解決中，蒐集一下可能的方式。

方法一

刪除這個啟動項：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<kernel32><C:\WINDOWS\Kernel32.exe> []

刪除這個驅動程序：
[SBAPIFS / SBAPIFS][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\sbapifs.sys><N/A>

重啟後刪除文件：
C:\WINDOWS\Kernel32.exe
C:\WINDOWS\system32\drivers\sbapifs.sys

方法二

清除方案： （建議先下載個UNLOCKER）
1、關閉系統還原，結束兩個進程rundll32.exe；

2、打開選項「顯示受保護的操作系統文件」「顯示隱藏文件」（我的電腦–工具–文件夾選項–查看–）
刪除以下文件：（文件刪不掉的 安裝UNLOCKER 右鍵–UNLOCKER後–再刪除）

C:\WINDOWS\Microsoft\rundll32.exe
C:\program files\internet explorer\use6.dll
C:\WINDOWS\system32\dt.dll

WINDOWS文件夾內的cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe，winform.exe之類文件手動刪除,

TEMP文件夾下的upxdnd.exe和upxdnd.dll文件手動刪除。

C:下的SYS…之類包含ghook.dll和svchost.exe的2個文的文件夾刪除;

（也可以進安全模式下直接刪除）
3、修改註冊表，刪除以下兩項：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Micro><C:\WINDOWS\Microsoft\rundll32.exe>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<main><rundll32.exe “C:\program files\internet explorer\use6.dll” mymain>

4、使用unlocker刪除C:\\WINDOWS\system32\drivers\etc\hosts

5、使用資源管理器（開始-所有程序-附件-windows資源管理器）打開各個分區，刪除所有分區下面的Autorun.inf及mplay.com （也可右鍵打開進去，但不要雙擊進入）

6：檢查並清理啟動項，（開始–運行–輸入「MSCONFIG」–啟動）。

方法三

已经删除: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: C:\System Volume Information\_restore{323522D9-F13A-4504-BCE9-538B7E557FCD}\RP4\A0001348.exe//NSPack
已经删除: 木马程序 Trojan-PSW.Win32.OnLineGames.ql 文件: C:\System Volume Information\_restore{323522D9-F13A-4504-BCE9-538B7E557FCD}\RP4\A0001349.dll
已经删除: 木马程序 Trojan-PSW.Win32.OnLineGames.uf 文件: C:\System Volume Information\_restore{323522D9-F13A-4504-BCE9-538B7E557FCD}\RP4\A0001350.dll//Petite

方法四

追蹤網址

1.進入安全模式

2.關閉還原系統

3.移除檔案

執行 OTMoveIt.exe
複製以下文字
C:\WINDOWS\ldewiy.exe
C:\WINDOWS\system32\rarjetl.exe
C:\WINDOWS\system32\kvdxskis.exe
C:\WINDOWS\system32\kapjeaz.exe
C:\WINDOWS\system32\wsmseax.exe
C:\WINDOWS\system32\rsmyhsp.exe
C:\WINDOWS\system32\okmhaaz.exe
C:\WINDOWS\system32\swrceac.exe
C:\WINDOWS\system32\kaqhkaz.exe
C:\WINDOWS\system32\kaqhkcs.dll
C:\WINDOWS\system32\rsmyhfg.dll
C:\WINDOWS\byoqxz.exe
C:\WINDOWS\ydvlht.exe
C:\WINDOWS\tupofh.exe
C:\WINDOWS\wpryyv.exe
C:\sqmdata00.sqm
C:\sqmnoopt00.sqm
C:\WINDOWS\Fonts\okmhacs.dll
C:\WINDOWS\Fonts\ratbmni.dll
C:\WINDOWS\49400MM.DLL
C:\WINDOWS\49400WL.DLL
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\Fonts\kvdxskcf.dll
C:\WINDOWS\Fonts\kawdfcs.dll
C:\WINDOWS\Fonts\sidjecs.dll
C:\WINDOWS\Fonts\kapjecs.dll
C:\WINDOWS\Fonts\swrcecs.dll
C:\WINDOWS\Fonts\kvdxjcf.dll
C:\WINDOWS\Fonts\wsmsecj.dll
C:\WINDOWS\Fonts\rarjeni.dll
C:\WINDOWS\Fonts\avzxkin.dll
C:\WINDOWS\Fonts\kvdxsjcf.dll
C:\WINDOWS\Fonts\hookhelp.ini
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\kawdfaz.exe
C:\WINDOWS\system32\sidjeaz.exe
C:\WINDOWS\Fonts\hookhelp.dll
C:\WINDOWS\system32\asvzhuzhu32.dll
C:\WINDOWS\system32\avwlgst.exe
C:\WINDOWS\MsPrint32D.exe
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\ratbmtl.exe
C:\WINDOWS\system32\drivers\comint32.sys
C:\WINDOWS\lynesz.exe
C:\WINDOWS\49400L.exe
C:\PegeFile.pif
C:\WINDOWS\system32\kapjezy.dll
C:\WINDOWS\system32\kvdxskma.dll
C:\WINDOWS\system32\rarjepi.dll
C:\WINDOWS\system32\swrcezc.dll
C:\WINDOWS\system32\wsmsezx.dll

於”Paste List of Files/Folders to be moved”的框位中

點擊 Moveit!

假如程式要求重新啟動電腦,按 Yes

關閉 OTMoveIt

刪除C:\_OTMoveIt

OTMoveIt下載點 : http://www.snapdrive.net/qs/e6f3a902a8d2

4.修復register

下載並且解壓縮後，有fix.reg及AppInit-repair.reg兩個檔案，點擊執行匯入。

方法五

追蹤網址

1.移除檔案

* 下載 OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
* 儲存到桌面
* 執行 OTMoveIt.exe
o 複製以下粗黑文字
C:\PegeFile.pif
C:\WINDOWS\338448L.exe
C:\WINDOWS\hpoins01.dat
C:\WINDOWS\ogsari.exe
C:\WINDOWS\oqtgle.exe
C:\WINDOWS\system32\ampvstqj32.dll
C:\WINDOWS\system32\asvzhuzhu32.dll
C:\WINDOWS\system32\avwgest.exe
C:\WINDOWS\system32\avwggst.exe
C:\WINDOWS\system32\avwlfst.exe
C:\WINDOWS\system32\avzxist.exe
C:\WINDOWS\system32\avzxjst.exe
C:\WINDOWS\system32\fnuckryfmu.dll
C:\WINDOWS\system32\gdqqhxi32.dll
C:\WINDOWS\system32\kapjeaz.exe
C:\WINDOWS\system32\kaqhjaz.exe
C:\WINDOWS\system32\kawdfaz.exe
C:\WINDOWS\system32\kvdxjis.exe
C:\WINDOWS\system32\kvdxsiis.exe
C:\WINDOWS\system32\kvdxsjis.exe
C:\WINDOWS\system32\qqhxatl.dll
C:\WINDOWS\system32\raqjdtl.exe
C:\WINDOWS\system32\rarjetl.exe
C:\WINDOWS\system32\ratbjtl.exe
C:\WINDOWS\system32\ratbltl.exe
C:\WINDOWS\system32\sidjdaz.exe
C:\WINDOWS\system32\sidjeaz.exe
C:\WINDOWS\system32\swrcdac.exe
C:\WINDOWS\system32\tbipbipxfmty.dll
C:\WINDOWS\system32\ucjqciqxemsa.dll
C:\WINDOWS\system32\windosabc.exe
C:\WINDOWS\system32\wszjaax.exe
C:\WINDOWS\system32\drivers\comint32.sys
C:\WINDOWS\system32\drivers\svchost.exe

* 於”Paste List of Files/Folders to be moved”的框位中
* 按 Ctrl + V/右click貼上剛才複製的內容
* 點擊 Moveit!
* 假如程式要求重新啟動電腦,按 Yes
* 關閉 OTMoveIt

2.清除暫存路徑

刪除C:\_OTMoveIt

3.清除特定檔案

* 下載 PowerRmv
http://dl.filseclab.com/down/powerrmv.zip
* 儲存到桌面
* 解壓縮 powerrmv.zip
* 執行 PowerRmv.exe
o 於檔案名,貼上以下粗黑色文字
C:\PegeFile.pif
C:\WINDOWS\system32\drivers\comint32.sys

* 點擊 清除,並抑制再次生成
* 點擊 開始
* PowerRmv會提示是否確定要清除它–>(是)
* 如果PowerRmv提示要重新開機–>(確定)
* 關閉 PowerRmv

其他參考網頁：

kvdxcma.dll（Trojan.PSW.Win32.XYOnline.jq）解決方法

Technorati : remove, trojan.onlinegames