遭遇krnln.fnr,com.run,shell.fne,dp1.fne,eAPI.fne,internet.fne,RegEx.fnr,spec.fne等

遭遇krnln.fnr,com.run,shell.fne,dp1.fne,eAPI.fne,internet.fne,RegEx.fnr,spec.fne等

　　一位网友说他的电脑可能中病毒了，症状为把U盘中的文件夹改名后再双击，就提示找不到文件夹。

　　通过ＱＱ远程协助，先检查U盘，发现了文件夹变EXE文件的病毒。删除EXE文件病毒，再去除被病毒隐藏的文件夹的隐藏和系统属性。

　　再用pe_xscan扫描电脑，生成系统日志并分析，发现如下可疑项：

pe_xscan 10-07-04 by Purple Endurer
2010-9-25 20:54:33
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
C:/WINDOWS/explorer.exe * 1596| 2008-4-14 20:0:0
C:/Program Files/FreeLaunchBar/flb.dll| 2010-7-22 10:14:49|Free Launch Bar|1.0.0.0|Free Launch Bar|版权所有(C)2001-2004 TrueSoft|1.0.0.0|TrueSoft|Free Launch Bar|FreeLaunchBar|flb.dll
C:/WINDOWS/system32/spoolsv.exe*1656| 2010-8-17 21:17:6
C:/WINDOWS/system32/EC4698/0246EF.EXE * 1844| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/krnln.fnr| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/com.run| 2010-8-3 14:58:26|com Dynamic Link Library|1, 0, 0, 1|com DLL|版权所有 (C) 2004|1, 0, 0, 1|||com|com.DLL
C:/WINDOWS/system32/EC4698/shell.fne| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/dp1.fne| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/eAPI.fne| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/internet.fne| 2010-8-3 14:58:26|internet Dynamic Link Library|1, 0, 0, 1|internet DLL|版权所有 (C) 2002|1, 0, 0, 1|||internet|internet.DLL
C:/WINDOWS/system32/EC4698/RegEx.fnr| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/spec.fne| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/PV718346.EXE*3988| 2010-9-25 8:18:52
C:/WINDOWS/system32/EC4698/krnln.fnr| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/eAPI.fne| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/dp1.fne| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/W65C5EF7.EXE*1948| 2010-9-25 8:18:53
C:/WINDOWS/system32/EC4698/krnln.fnr| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/eAPI.fne| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/dp1.fne| 2010-8-3 14:58:26

O2 - IeAddOn(JsObject Class) - {11CC93E4-0BE6-4f8f-82AA-D577FB955B05}
=C:/Program Files/Baidu/AddressBar/AddressBar.dll
O4 - HKLM/../run: [0246EF]C:/WINDOWS/system32/EC4698/0246EF.EXE
O4 - Startup:0246EF.lnk->C:/WINDOWS/system32/EC4698/0246EF.EXE

HKLM/SHOWALL 值非1

　　到 http://purpleendurer.ys168.com 下载了FileInfo 和bat_do。 用bat_do 把病毒文件打包，用FileInfo 提取病毒文件信息。

　　网友电脑中只装有QQ软件管家，没有杀毒软件，于是想到瑞星网站下载安装，不料瑞星网站首页总是无法显示，估计是被病毒屏蔽了，后面清除病毒后就能正常打开了。

　　再试试金山毒霸网站，可以正常打开，发现上面有个完全免费的“金山毒霸技术预览版”，才10.4 MB，试试看。

　　居然具有一些系统修复功能，可惜有修复效果不尽如人意，比如：

　　O4 - Startup: 0246EF.lnk -> C:/WINDOWS/system32/EC4698/0246EF.EXE

　　在查杀完成并重启电脑后还在，只好手动清除。

　　另外就是误报，把我的FileInfo也当成恶意程序了，IceSword也未能幸免。

附部分恶意文件信息：

文件说明符 : C:/WINDOWS/system32/EC4698/0246EF.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-16 9:17:9
修改时间 : 2010-8-16 9:17:9
大小 : 114176 字节 111.512 KB
MD5 : fec7a8d7fd20f96995cc3d571d2448ec
SHA1: DA92FD20B44F084358F2FE00B2D0DDC531792FF7
CRC32: 70003d06

文件说明符 : C:/WINDOWS/system32/EC4698/krnln.fnr
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:25
大小 : 1101824 字节 1.52 MB
MD5 : d98daa3910ff67c67ecd6eb234690fa6
SHA1: 2FBC167EA2AB1B83E0FEE1F83EBB1C55CE27E553
CRC32: 14c9503b

文件说明符 : C:/WINDOWS/system32/EC4698/com.run
属性 : -SH-
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : com DLL
版权 : 版权所有 (C) 2004
产品版本 : 1, 0, 0, 1
产品名称 : com Dynamic Link Library
内部名称 : com
源文件名 : com.DLL
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:26
大小 : 266240 字节 260.0 KB
MD5 : ce2f773275d3fe8b78f4cf067d5e6a0f
SHA1: B7135E34D46EB4303147492D5CEE5E1EF7B392AB
CRC32: f2b03db9

文件说明符 : C:/WINDOWS/system32/EC4698/shell.fne
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-16 9:17:9
修改时间 : 2010-8-16 9:17:8
大小 : 40960 字节 40.0 KB
MD5 : 6252f4ed0e19019c65aebafe47fdabaa
SHA1: EFE5D416D749C27960496CC842E65E70B05393C7
CRC32: aed60996

文件说明符 : C:/WINDOWS/system32/EC4698/dp1.fne
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:25
大小 : 114688 字节 112.0 KB
MD5 : ce2f031c754188a1e44f3a192e64cde7
SHA1: 7C24B3F551F52B829E838A792F7F8EF38B804284
CRC32: a69e274f

文件说明符 : C:/WINDOWS/system32/EC4698/eAPI.fne
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-16 9:17:9
修改时间 : 2010-8-16 9:17:8
大小 : 323584 字节 316.0 KB
MD5 : cd343dd62be7a89a164b19819b7d5808
SHA1: D67E9D2289A8C6B4A7EEEF909F1F841AE15ABBF9
CRC32: 225f6262

文件说明符 : C:/WINDOWS/system32/EC4698/internet.fne
属性 : -SH-
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : internet DLL
版权 : 版权所有 (C) 2002
产品版本 : 1, 0, 0, 1
产品名称 : internet Dynamic Link Library
内部名称 : internet
源文件名 : internet.DLL
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:26
大小 : 184320 字节 180.0 KB
MD5 : 299c26fb72a3d286cc24c4a9a9a4a693
SHA1: ACC3292D9D0534124675FFA6C6B336E1F25F4E30
CRC32: 191a6c3a

文件说明符 : C:/WINDOWS/system32/EC4698/RegEx.fnr
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:26
大小 : 217088 字节 212.0 KB
MD5 : a67daddcb30335163cf7d99f282f5ae0
SHA1: C033169006BEF68BEBFA77405C4A35688AB41A99
CRC32: 6e8cc79c

文件说明符 : C:/WINDOWS/system32/EC4698/spec.fne
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:26
大小 : 69632 字节 68.0 KB
MD5 : 8985d73f08638b4b48ecd30759c9e53f
SHA1: 400A90C9EABEB94AE05E5036E21DC922B0C1FFAD
CRC32: fac44b10

文件说明符 : C:/WINDOWS/system32/EC4698/9UN68.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-8 10:47:9
修改时间 : 2010-8-8 10:47:9
大小 : 14848 字节 14.512 KB
MD5 : 541088f60a19f6e417cac50b2c2d79d2
SHA1: BFE1C09A42C0838B5ECAAE6F0C8D77D0AE89B369
CRC32: cbc95d60

文件说明符 : C:/WINDOWS/system32/EC4698/WH44714B.EXE
同 C:/WINDOWS/system32/EC4698/9UM68.EXE

文件说明符 : C:/WINDOWS/system32/EC4698/9UM68.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-24 8:55:27
修改时间 : 2010-9-18 8:1:59
大小 : 14848 字节 14.512 KB
MD5 : ca3f4315bca7460f9df8589b0eb36360
SHA1: BDB67716CF91F72DDEB2234814294D59BC2DBE72
CRC32: fd1c85e5

ca3f4315bca7460f9df8589b0eb36360---9UM68.EXE

文件说明符 : C:/WINDOWS/system32/EC4698/Z8CDAC38.EXE
同C:/WINDOWS/system32/EC4698/9UN68.EXE

文件说明符 : C:/WINDOWS/system32/EC4698/VC-WL8.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-3 15:4:59
修改时间 : 2010-8-8 15:35:50
大小 : 14336 字节 14.0 KB
MD5 : fa35d4e9867489c581ee263ad77d8e96
SHA1: 63A93A8FC37B3C792356F8F73BFFDC7B5F569671
CRC32: 76094d83

卡巴斯基报为：Trojan.Win32.FlyStudio.uj，瑞星报为：Trojan.Win32.Generic.520C5658

文件说明符 : C:/WINDOWS/system32/EC4698/VV6F2450.EXE
同 C:/WINDOWS/system32/EC4698/VC-WL8.EXE

文件说明符 : C:/WINDOWS/system32/EC4698/cnvpe.fne
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-3 14:58:26
修改时间 : 2010-8-3 14:58:25
大小 : 61440 字节 60.0 KB
MD5 : ad05921e0c3d85fd065df25b42ac7685
SHA1: E6802FD48478DB7234CD82F79E9B4D00B51D6D1D
CRC32: 90e60753

文件说明符 : C:/WINDOWS/system32/EC4698/VC-G8.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-16 9:23:37
修改时间 : 2010-8-23 15:40:30
大小 : 13312 字节 13.0 KB
MD5 : 4de97ffb8d44d3225971b08170a47961
SHA1: 3FC8285D9C3B606BA21FBC366E7F2B94F8A9E62C
CRC32: 324028f8

卡巴斯基报为：Trojan.Win32.FlyStudio.uj，瑞星报为：Trojan.Win32.Generic.5226A7A6

文件说明符 : C:/WINDOWS/system32/EC4698/TC-G9.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-8-24 8:55:27
修改时间 : 2010-9-13 8:11:51
大小 : 13312 字节 13.0 KB
MD5 : 09acefe66d8cf177462a81ab2f2b955a
SHA1: 2CC8C6D8A2BACECC49EE3BA4F554BD736F867E25
CRC32: 9c4356cc

卡巴斯基报为Trojan.Win32.FlyStudio.uj，瑞星报为 Trojan.Win32.Generic.522A0EF0

文件说明符 : C:/WINDOWS/system32/EC4698/NV5952B3.EXE
同 C:/WINDOWS/system32/EC4698/TC-G9.EXE

文件说明符 : C:/WINDOWS/system32/EC4698/TC-GP.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-14 9:2:43
修改时间 : 2010-9-25 8:18:52
大小 : 12800 字节 12.512 KB
MD5 : de987157d620191f09dd9c6b69459eac
SHA1: FFBABEDD3E355751CCAD4BC5BDB631581F1C0183
CRC32: c2e3b01e

瑞星报为 Trojan.Win32.Generic.5231FF7F

文件说明符 : C:/WINDOWS/system32/EC4698/PV718346.EXE
同 C:/WINDOWS/system32/EC4698/TC-GP.EXE

文件说明符 : C:/WINDOWS/system32/EC4698/9UM78.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-9-20 11:19:19
修改时间 : 2010-9-25 8:18:52
大小 : 14848 字节 14.512 KB
MD5 : 0a244a1b2478af8c580c805cc394f1c1
SHA1: F14DCDAE117F36634E8D683D8D7B205C1C0CE991
CRC32: 1b53050c

瑞星报为 Trojan.Win32.Generic.523389F9

文件说明符 : C:/WINDOWS/system32/EC4698/W65C5EF7.EXE
同　　　　 C:/WINDOWS/system32/EC4698/9UM78.EXE