爱华网种种就象表明,PPLive正在努力成为病毒,而我不幸昨天中了它的招。
事情的大致情况;
先是突然发现机器运行异常,在玩同城游戏时,出现跳出窗口,当初以为是游戏的弹出窗口,所以没有太在意,但第二次出现后,系统托盘中出现了PPTV及其加速器的图标。回到桌面,发现PPTV与瑞星杀毒图标,进程中发现多个异常进程,并有随机数字命名的进程。
操作系统是使用了保护的,所以重启了一下机器,桌面干净了,以为就此太平。
有一个ACS.exe进程无法关闭,重启后,桌面图标消失,但进程中还有异常:
smss.exeSystemRootSystem32smss.exe
csrss.exeC:WINDOWSsystem32csrss.exe ObjectDirectory=WindowsSharedSection=1024,3072,512
Windows=On SubSystemType=WindowsServerDll=basesrv,1ServerDll=winsrv:UserServerDllInitialization,3
ServerDll=winsrv:ConServerDllInitializa
winlogon.exewinlogon.exe
services.exeC:WINDOWSsystem32services.exe
lsass.exeC:WINDOWSsystem32lsass.exe
DF5Serv.exe"C:Program FilesFaronicsDeep FreezeInstallC-0DF5Serv.exe"
ati2evxx.exeC:WINDOWSsystem32Ati2evxx.exe
svchost.exeC:WINDOWSsystem32svchost -k DcomLaunch
svchost.exeC:WINDOWSsystem32svchost -k rpcss
svchost.exeC:WINDOWSSystem32svchost.exe -k netsvcs
acs.exeC:WINDOWSsystem32acs.exe
svchost.exeC:WINDOWSsystem32svchost.exe -k NetworkService
svchost.exeC:WINDOWSsystem32svchost.exe -k LocalService
ati2evxx.exeAti2evxx.exe -Client
userinit.exeC:WINDOWSsystem32userinit.exe
explorer.exeC:WINDOWSexplorer.exe
wmiprvse.exeC:WINDOWSsystem32wbemwmiprvse.exe
TWCU.exe"C:Program FilesTP-LINKTL-WN310G &TL-WN350GTWCU.exe" -nogui
GooglePinyinDaemon.exe "C:ProgramFilesGoogleGoogle PinyinGooglePinyinDaemon.exe"
ctfmon.exe"C:WINDOWSsystem32ctfmon.exe"
FrzState2k.exe"C:Program FilesFaronicsDeep FreezeInstallC-0_$DfFrzState2k.exe" 1 106917
svchost.exeC:WINDOWSSystem32svchost.exe -k HTTPFilter
wmiprvse.exeC:WINDOWSsystem32wbemwmiprvse.exe
238485 C:DOCUME~1ADMINI~1LOCALS~1Temp238485
165763C:DOCUME~1ADMINI~1LOCALS~1Temp165763
解除保护后,成功删除最后两项,但感觉输入法有问题了,切换时没有反应。
进一步清理C:DOCUME~1ADMINI~1LOCALS~1Temp,强制删除svchost.exe
在C:Documents and SettingsAdministratorLocal SettingsTemporaryInternet Files中发现来自www.163.ln.cn的一系列EXE等内容,其中有一个1128.txt,其内容揭示如下:
----------------------------------
[file]
open=y
url1=http://www.l63.ln.cn/2.exe
url2=http://www.l63.ln.cn/3.exe
url3=http://www.l63.ln.cn/5.exe
url4=http://www.l63.ln.cn/6.exe
url5=http://www.l63.ln.cn/4.exe
url6=http://www.l63.ln.cn/8.exe
url7=http://www.l63.ln.cn/9.exe
url8=http://www.l63.ln.cn/10.exe
url9=http://www.l63.ln.cn/11.exe
url10=http://www.l63.ln.cn/12.exe
url11=http://www.l63.ln.cn/14.exe
url12=http://www.l63.ln.cn/26.exe
url13=http://www.l63.ln.cn/1.exe
url14=http://www.l63.ln.cn/qq.exe
url15=http://www.l63.ln.cn/qb.exe
url16=http://www.l63.ln.cn/cz01.exe
url17=http://www.l63.ln.cn/cz02.exe
count=17
--------------------------------------------------
清理工作做了不少,但怪事件增多了,开机时出现“正在设置360safe”一闪而过。
在程序中发现C:Program FilesYiqilai是一款“一起来音乐”的程序——不会是什么好东西,随手就卸载了(在之后的操作过程中又出现过,可见我的判定是正确的)。
开始重复出现窗口,内容如下:
标题 F:Autorun.inf
内容 F:setup.exe 确定
再看看进程
smss.exeSystemRootSystem32smss.exe
csrss.exeC:WINDOWSsystem32csrss.exeObjectDirectory=Windows...SharedSection=1024,3072,512Windows=OnSubSystemType=Windows..ServerDll=ba...
winlogon.exewinlogon.exe
services.exeC:WINDOWSsystem32services.exe
lsass.exeC:WINDOWSsystem32lsass.exe
DF5Serv.exe"C:Program FilesFaronicsDeep FreezeInstallC-0DF5Serv.exe"
ati2evxx.exeC:WINDOWSsystem32Ati2evxx.exe
svchost.exeC:WINDOWSsystem32svchost -k DcomLaunch
svchost.exeC:WINDOWSsystem32svchost -k rpcss
svchost.exeC:WINDOWSSystem32svchost.exe -k netsvcs
acs.exeC:WINDOWSsystem32acs.exe
svchost.exeC:WINDOWSsystem32svchost.exe -k NetworkService
svchost.exeC:WINDOWSsystem32svchost.exe -k LocalService
ati2evxx.exeAti2evxx.exe -Client
userinit.exeC:WINDOWSsystem32userinit.exe
explorer.exeC:WINDOWSexplorer.exe
svchost.exe"C:Program FilesMicrosoft Officesvchost.exe"
TWCU.exe"C:Program FilesTP-LINKTL-WN310G &TL-WN350GTWCU.exe" -nogui
GooglePinyinDaemon.exe "C:ProgramFilesGoogleGoogle PinyinGooglePinyinDaemon.exe"
ctfmon.exe"C:WINDOWSsystem32ctfmon.exe"
svchost.exeC:DOCUME~1ADMINI~1LOCALS~1Temp41484.exe
wscntfy.exeC:DOCUME~1ADMINI~1LOCALS~1Temp41484.exe
FrzState2k.exe"C:Program FilesFaronicsDeep FreezeInstallC-0_$DfFrzState2k.exe" 1 106917
svchost.exeC:WINDOWSSystem32svchost.exe -k HTTPFilter
svchost.exeC:WINDOWSsystem32svchost.exe -k imgsvc
185372C:DOCUME~1ADMINI~1LOCALS~1Temp185372
sbdrv.exeC:WINDOWSsystem32sbdrv.exe
winds.exeC:WINDOWSsystem32winds.exe
267579C:DOCUME~1ADMINI~1LOCALS~1Temp267579
jackv.exeC:WINDOWSsystem32jackv.exe
killv.exeC:WINDOWSsystem32killv.exe
coiks.exeC:WINDOWSsystem32coiks.exe
svchost.exeC:WINDOWSsystem32svchost.exe
smrsc.exeC:WINDOWSsystem32smrsc.exe
360sc.exeC:WINDOWSsystem32360sc.exe
wscntfy.exec:windowssystemmsdos.pif
PlayFlash.datC:DOCUME~1ADMINI~1LOCALS~1TempPlayFlash.dat
taskmgr.exeC:WINDOWSsystem32taskmgr.exe
laotan.datC:DOCUME~1ADMINI~1LOCALS~1Templaotan.dat
Loader.datC:DOCUME~1ADMINI~1LOCALS~1TempLoader.dat
cmd.exe"C:WINDOWSsystem32cmd.exe"
wmiprvse.exeC:WINDOWSsystem32wbemwmiprvse.exe
对于上述内容中出现的新内容采取强制删除方式,下述内容消灭了:
C:WINDOWSsystem32Ati2evxx.exe
C:WINDOWSsystem32acs.exe
C:DOCUME~1ADMINI~1LOCALS~1Temp41484.exe
C:DOCUME~1ADMINI~1LOCALS~1Temp185372
C:WINDOWSsystem32jackv.exe
C:WINDOWSsystem32killv.exe
C:WINDOWSsystem32coiks.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32360sc.exe
C:WINDOWSsystem32smrsc.exe
c:windowssystemmsdos.pif
C:DOCUME~1ADMINI~1LOCALS~1Templaotan.dat
C:DOCUME~1ADMINI~1LOCALS~1TempLoader.dat
------------------------------------------------------
重启后,发现一个可疑文档:
Temp ote.txt
c:Program FilesCommonFilesPPLiveNetworkPPAP.exe
再次出现大量PPAP.exe
强制删除进程未果,进程逐步增多。进程中另外有一个可疑内容:
sbdrv.exe C:WINDOWSsystem32sbdrv.exe
由于在删除后它又会出现,所以运用另外手段来对付。
这一次,进程PPAP.exe可以删除,并不再出现,但该程序还是存在。
事情还没有完。
开机时总出现360Safe字样,关闭了一些服务后也是一样。
关闭服务中的qqqqqq,rrrrrr,tttttt,yyyyyy,wwwwww未知服务。
有大量的PPAP .exe进程出现,最多时达到上百,CPU占用率100%,为避免死机,强制关机。
加载光驱,进入PE系统中。
删除整个C:Program FilesPPLive 的目录
2010-02-0920:33<DIR>.
2010-02-0920:33<DIR>..
2010-02-0920:38<DIR>PPTV
2010-02-0920:39<DIR>PPVA
0个文件0 字节
4 个目录 6,997,561,344 可用字节
删除C:WINDOWSsystem 目录中如下内容
2010-02-0920:1334,360 dPQuM.DRV
2010-02-0919:3337,920 giuws.DRV
2010-02-0920:1439,796 HKXsN.DRV
2010-02-0919:3439,796 iErWI.DRV
2010-02-0920:1337,920 jkHBo.DRV
2010-02-0919:3332,824 mbMXg.DRV
2010-02-0919:3434,360 NirfS.DRV
2010-02-0920:1437,188 pbrRq.DRV
2010-02-0920:1232,824 pnCLl.DRV
2010-02-0919:3434,140 PsJpt.DRV
2010-02-0919:3430,776 rQyel.DRV
2010-02-0920:1333,092 TvDLr.DRV
2010-02-0920:1334,140 uIRFh.DRV
2010-02-0920:1330,776 uJMvH.DRV
2010-02-0919:3433,092 YTdWq.DRV
删除C:WINDOWSsystem32目录中
2010-02-0920:4169,632 eqyy.exe
2010-02-0920:13371,200 dsound.dll
2010-02-0920:13371,200 dsound.dllEDBGu
2010-02-0919:34371,200 dsound.dllFRUVC
2010-02-0919:34371,200 dsound.dllgdXYW
2004-08-1720:00367,616 dsound.dllmbMXg
2010-02-0920:13371,200 dsound.dllMDoOM
2010-02-0920:13371,200 dsound.dllnriiv
2010-02-0919:34371,200 dsound.dllpnCLl
2010-02-0919:34371,200 dsound.dllsrXDt
2010-02-0920:13371,200 dsound.dllTvDLr
2010-02-0919:34371,200 dsound.dllYTdWq
2010-02-0919:3352,736 t311019.dll
2010-02-0920:122,348 t311019.ini
2010-02-0920:1186,016 t320067.dll
2010-02-0920:122,616 t320067.ini
2010-02-0920:1270,144 t322044.dll
2010-02-0920:122,616 t322044.ini
2010-02-0920:1281,920 t329143.dll
2010-02-0920:122,616 t329143.ini
重启后发现有PPAP.exe进程,目标指向C:Program FilesCommonFilesPPLiveNetworkPPAP.exe,换了一个位置重新出现,另外有wind.exe,Msefewb2.exe(隐藏),eqyy.exe,已经强制删除
目前的情况是:
Win快捷方式无效,IE被劫持,主页无法更改到自定义主页,右击IE时,菜单中出现“我的主页”,在Internet选项中更改主页也无效,始终指向9348或者shangla
系统启动非常缓慢,PPAP.exe进程不再出现。
IE开始出现异常,有出错窗口,提示应用程序有误,Unknow saftware exception...
============================================================================================
综合一下上述情况:
1.在多个位置安装了PPLive
2.启用大量PPAP.exe进程,手工禁止根本跟不上进程产生的进度
3.变换着内容,在系统目录中安装程序
4.Taskkill无法使用,导致处理进程困难
5.Win+X形式的快捷方式失效
6.IE被劫持,无法在Internet选项中修改主页
7.开机变得缓慢,出现正在设置360safe——本机没有这程序
8.有不明的服务,如qqqqqq等
9.自始至终,机器异常都与PPAP.exe有关,另外有PPTV.exe,PPLiveVA.exe等相关内容
加载程序,在未得到机主同意或未的情况下发生,那无疑是下三滥的,PPLive看来是学了3721的本领,并有超越,大家有必要对此保持警惕了。
