w32.virut.w, PE_VIRUT.A w32.virut.w ， PE_VIRUT.A

I just download google pack with norton and the first scan hook my fav svn tortoise with w32.virut.w .我只是包下载谷歌与诺顿和首次扫描钩我最喜欢的svn乌龟与w32.virut.w 。

Excerpt from Symantec摘自赛门铁克

W32.Virut.A is a virus that infects executable files and opens a back door on TCP port 65520 by connecting to a predefined IRC server. W32.Virut.A是一种病毒，能够感染可执行文件，并打开一个后门在TCP端口65520连接到预定的IRC服务器。

Netstats

netstat -aob > netstat.log netstat -副嗅球“ netstat.log

  TCP USER:1028 78.109.19.140.in.hosting.ua:65520 ESTABLISHED 936 TCP连接用户： 1028 78.109.19.140.in.hosting.ua ： 6.552万661 936 
  [winlogon.exe] [ winlogon.exe ] 

The free version of Norton Internet Scan Failed to fixed the virus.该免费版的诺顿网络扫描无法固定的病毒。 :( ： （

Norton Logs诺顿日志

 Process:过程： 
  c:\windows\system32\ctfmon.exe ç ： \窗户\ system32 \ Ctfmon.exe会 
  c:\program files\tortoisesvn\bin\tsvncache.exe ç ： \程序文件\ tortoisesvn \斌\ tsvncache.exe 
 Infection:感染： 
  c:\windows\system32\ctfmon.exe ç ： \窗户\ system32 \ Ctfmon.exe会 
  c:\program files\tortoisesvn\bin\tsvncache.exe ç ： \程序文件\ tortoisesvn \斌\ tsvncache.exe 
  c:\windows\system32\spoolsv.exe ç ： \窗户\ system32 \ spoolsv.exe 
  c:\windows\system32\locator.exe ç ： \窗户\ system32 \ locator.exe 
  c:\windows\system32\alg.exe ç ： \窗户\ system32 \ alg.exe 
  c:\windows\system32\sessmgr.exe ç ： \窗户\ system32 \ sessmgr.exe 
  c:\windows\system32\dllhost.exe ç ： \窗户\ system32 \ dllhost.exe 
  c:\windows\system32\rsvp.exe ç ： \窗户\ system32 \ rsvp.exe 
  c:\windows\system32\dmadmin.exe ç ： \窗户\ system32 \ dmadmin.exe 
  c:\windows\system32\msdtc.exe ç ： \窗户\ system32 \ msdtc.exe 
  c:\windows\system32\cisvc.exe ç ： \窗户\ system32 \ cisvc.exe 
  c:\windows\system32\wbem\wmiapsrv.exe ç ： \窗户\ system32 \ wbem \ wmiapsrv.exe 
  c:\windows\system32\ups.exe ç ： \窗户\ system32 \ ups.exe 
  c:\windows\system32\msiexec.exe ç ： \窗户\ system32 \ Msiexec.exe的 
  c:\windows\system32\netdde.exe ç ： \窗户\ system32 \ netdde.exe 
  c:\windows\system32\vssvc.exe ç ： \窗户\ system32 \ vssvc.exe 
  c:\windows\system32\mnmsrvc.exe ç ： \窗户\ system32 \ mnmsrvc.exe 
  c:\windows\system32\mshta.exe ç ： \窗户\ system32 \ mshta.exe 
  c:\windows\system32\userinit.exe ç ： \窗户\ system32 \ userinit.exe 
  c:\windows\system32\ieudinit.exe ç ： \窗户\ system32 \ ieudinit.exe 
  c:\windows\inf\unregmp2.exe ç ： \窗户\ inf中\ unregmp2.exe 
  c:\windows\system32\ie4uinit.exe ç ： \窗户\ system32 \ ie4uinit.exe 
  c:\windows\system32\rundll32.exe ç ： \窗户\ system32 \ rundll32.exe 
  c:\windows\system32\regsvr32.exe ç ： \窗户\ system32 \ Regsvr32.exe会 
  c:\windows\system32\ntsd.exe ç ： \窗户\ system32 \ ntsd.exe 
  c:\program files\wakoopa\wakoopa.exe ç ： \程序文件\ wakoopa \ wakoopa.exe 
  c:\program files\7-zip\7zfm.exe ç ： \程序文件\ 7 -邮递\ 7zfm.exe 
  c:\program files\acd systems\acdsee\6.0\acdsee6.exe ç ： \程序文件\减压系统\此外， ACDSee \ 6.0 \ acdsee6.exe 
  c:\program files\adobe\adobe help center\ahc.exe ç ： \程序文件\土坯\土坯帮助中心\ ahc.exe 
  c:\program files\netmeeting\conf.exe ç ： \程序文件\ NetMeeting的\ conf.exe 
  c:\program files\common files\acd systems\en\devdetect.exe ç ： \程序文件\共同文件\减压系统\恩\ devdetect.exe 
  c:\program files\windows nt\dialer.exe ç ： \程序文件\ Windows NT的\ dialer.exe 
  c:\program files\acd systems\fotocanvas\3.0\fotocanvas3.exe ç ： \程序文件\减压系统\ fotocanvas \ 3.0 \ fotocanvas3.exe 
  c:\program files\acd systems\fotoslate\3.0\fotoslate3.exe ç ： \程序文件\减压系统\ fotoslate \ 3.0 \ fotoslate3.exe 
  c:\windows\pchealth\helpctr\binaries\helpctr.exe ç ： \窗户\ pchealth \ helpctr \二进制\ helpctr.exe 
  c:\program files\hp\digital imaging\unload\hpqapkil.exe ç ： \程序文件\马力\数码影像\卸下\ hpqapkil.exe 
  c:\program files\hp\digital imaging\unload\hpqdia.exe ç ： \程序文件\马力\数码影像\卸下\ hpqdia.exe 
  c:\program files\hp\digital imaging\unload\hpqdias.exe ç ： \程序文件\马力\数码影像\卸下\ hpqdias.exe 
  c:\program files\hp\digital imaging\unload\hpqphunl.exe ç ： \程序文件\马力\数码影像\卸下\ hpqphunl.exe 
  c:\program files\hp\digital imaging\unload\hpqpsmon.exe ç ： \程序文件\马力\数码影像\卸下\ hpqpsmon.exe 
  c:\program files\hp\digital imaging\unload\hpqunset.exe ç ： \程序文件\马力\数码影像\卸下\ hpqunset.exe 
  c:\program files\hp\digital imaging\bin\hpqvpswp.exe ç ： \程序文件\马力\数码影像\斌\ hpqvpswp.exe 
  c:\program files\windows nt\hypertrm.exe ç ： \程序文件\ Windows NT的\ hypertrm.exe 
  c:\program files\internet explorer\connection wizard\icwconn1.exe ç ： \程序文件\的Internet Explorer \连接向导\ icwconn1.exe 
  c:\program files\internet explorer\connection wizard\icwconn2.exe ç ： \程序文件\的Internet Explorer \连接向导\ icwconn2.exe 
  c:\program files\internet explorer\iexplore.exe ç ： \程序文件\的Internet Explorer \ iexplore.exe 
  c:\program files\adobe\adobe photoshop cs2\imageready.exe ç ： \程序文件\土坯\ Adobe PhotoShop的二硫化碳\ imageready.exe 
  c:\program files\internet explorer\connection wizard\inetwiz.exe ç ： \程序文件\的Internet Explorer \连接向导\ inetwiz.exe 
  c:\program files\internet explorer\connection wizard\isignup.exe ç ： \程序文件\的Internet Explorer \连接向导\ isignup.exe 
  c:\program files\java\jre1.6.0_02\bin\javaws.exe ç ： \程序文件\咖啡\ jre1.6.0_02 \斌\ javaws.exe 
  c:\windows\system32\usmt\migwiz.exe ç ： \窗户\ system32 \ usmt \ migwiz.exe 
  c:\program files\movie maker\moviemk.exe ç ： \程序文件\电影制作\ moviemk.exe 
  c:\program files\windows media player\mplayer2.exe ç ： \程序文件\ Windows媒体播放器\ mplayer2.exe 
  c:\program files\combined community codec pack\mpc\mplayerc.exe ç ： \程序文件\联合社会解码器\货币政策委员会\ mplayerc.exe 
  c:\windows\pchealth\helpctr\binaries\msconfig.exe ç ： \窗户\ pchealth \ helpctr \二进制\ msconfig.exe 
  c:\program files\outlook express\msimn.exe ç ： \程序文件\ Outlook Express的\ msimn.exe 
  c:\program files\common files\microsoft shared\msinfo\msinfo32.exe ç ： \程序文件\共同文件\微软共享\ msinfo \ Msinfo32.exe的 
  c:\program files\messenger\msmsgs.exe ç ： \程序文件\通讯\ msmsgs.exe 
  c:\program files\notepad  \notepad  .exe ç ： \程序文件\记事本    \记事本   的。 exe 
  c:\windows\system32\mspaint.exe ç ： \窗户\ system32 \ mspaint.exe 
  c:\program files\adobe\adobe photoshop cs2\photoshop.exe ç ： \程序文件\土坯\ Adobe PhotoShop的二硫化碳\ photoshop.exe 
  c:\program files\quicktime\pictureviewer.exe ç ： \程序文件\ QuickTime的\ pictureviewer.exe 
  c:\python25\python.exe ç ： \ python25 \ python.exe 
  c:\program files\real\realplayer\realplay.exe ç ： \程序文件\房地产\的RealPlayer \ realplay.exe 
  c:\program files\common files\real\update_ob\rnxproc.exe ç ： \程序文件\共同文件\房地产\ update_ob \ rnxproc.exe 
  c:\windows\soundman.exe ç ： \窗户\ soundman.exe 
  c:\program files\tortoisesvn\bin\subwcrev.exe ç ： \程序文件\ tortoisesvn \斌\ subwcrev.exe 
  c:\program files\outlook express\wab.exe ç ： \程序文件\ Outlook Express的\ wab.exe 
  c:\program files\outlook express\wabmig.exe ç ： \程序文件\ Outlook Express的\ wabmig.exe 
  c:\program files\winrar\winrar.exe ç ： \程序文件\ WinRAR简体中文版\ winrar.exe 
  c:\program files\windows media player\wmplayer.exe ç ： \程序文件\ Windows媒体播放器\ wmplayer.exe 
  c:\program files\windows nt\accessories\wordpad.exe ç ： \程序文件\ Windows NT的\附件\ wordpad.exe 
  c:\program files\combined community codec pack\zoom player\zplayer.exe ç ： \程序文件\联合社会解码器\缩放播放器\ zplayer.exe 
  c:\windows\system32\logon.scr ç ： \窗户\ system32 \ logon.scr 
 Service:服务： 
  RpcLocator 
  ALG抗淋巴细胞球蛋白 
  RDSessMgr 
  COMSysApp 
  RSVP回复 
  dmadmin 
  MSDTC将MSDTC 
  CiSvc 
  WmiApSrv 
  UPS不间断电源 
  SwPrv 
  MSIServer 
  NetDDE 
  VSS变结构 
  mnmsrvc 
 Browser Cache浏览器的缓存 
 Registry:注册： 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon->Userinit HKEY_LOCAL_MACHINE \软件\微软\的Windows NT \ CurrentVersion \ Winlogon ， “ Userinit 

had to reinstall my windows XP because there is so many hook.重新安装了我的Windows XP中因为有这么多的钩。 I had send a support email to hosting.ua but still got no replied from theme.我曾派遣一个支持电子邮件hosting.ua ，但仍没有得到回答从主题。 need to reboot now.需要重新启动了。

Nov 17 07 , Update 11月17日07 ，更新

I got reply back from hosting.ua support.我回信从hosting.ua支持。 below is part of the email以下是部分电子邮件

 from abuse@hosting.ua从abuse@hosting.ua 
 to nospam@gmail.com,以nospam@gmail.com ， 
 date Nov 13, 2007 5:00 PM日期2007年11月十三日下午5点 
 subject Reply: trojan 78.109.19.140.in.hosting.ua #48879主题回复：木马78.109.19.140.in.hosting.ua ＃ 48879 

 hide details Nov 13 (3 days ago)隐藏详细信息11月13日（ 3天以前） 	

 Reply回复 

 ======== CUT HERE ========= ======== =========这里切 
 Your support request was answered:您的支持请求回答： 

 Created: 11.11.2007 1:28:38建立时间： 2007年11月11号1点28分38秒 
 Last Mod: 12.11.2007 1:41:30去年现代： 07年十二月11号1点41分30秒 

 Assigned To:分配给： 
 admin(Hosting.UA)管理员（ Hosting.UA ） 

 [11.11.2007 1:28:38] [ 2007年11月十一号一点28分38秒] 
 Q: hi,问：您好， 
 This is for your attention.这是您的注意。 I got a trojan in pc it routed back to one of我有一个特洛伊木马在个人电脑它改为回之一 
 your hosting at *78.109.19.140.in.hosting.ua *您的主机上78.109.19.140.in.hosting.ua * * 

 I hope you can do something about it.我希望你能有所作为。 

 Thank you谢谢您 
 ------------------------------------------------------- -------------------------------------------------- ----- 

 [13.11.2007 11:00:08] [ 2007年11月十三日十一点00分零八秒] 
 A: Fixed!答：不动！ 

 thx 172 
 www.Hosting.UA 

 ------------------------------------------------------- -------------------------------------------------- ----- 
 Hosting.UA Administration Hosting.UA管理 

Well there is no explaination about the issue from the support staff.  hope this site will be closed down for good.那么有没有解释对这个问题的支持人员。希望这个网站将予以关闭的好。 Google already blocked and place a warning when you search for the infected URI.谷歌已经封锁和地方的警告当您搜寻受感染的URI 。