在分析log的过程中,下载DrWeb CureIt!,重启电脑想进安全模式查杀,结果在启动过程中蓝屏,看来是被恶意程序破坏了,只好拔出网线,在正常模式下查杀病毒。
从pe_xscan的log上看,朋友的电脑装了N多的垃圾软件,如百度搜霸、雅虎助手、中文上网2007、Coopen播放器等,估计都是安装某些软件时不小心装上的。
F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe C:/WINDOWS/system32/wbem/360tray.exe>
假冒360卫士文件的360tray.exe利用userinit.exe来启动。
从log上可以看到有许多恶意文件在版本信息里假冒瑞星和360卫士的文件。
O2组列出了IE加载项,其中比较难处理的是:
O2 - IeAddOn(HkcuExSt) - - {296AB1B8-FB22-4D17-8834-064E2BA0A6F0} = C:/WINDOWS/UoDo/game.dll|2007-9-18 19:37:34
O2 - IeAddOn(HkcuExSt) - - {57CC5BE6-65FB-4533-B5C3-11DF00ACC50B} = C:/WINDOWS/system32/nsDk.dll
O4组列出了通过注册表的run键和开始菜单启动文件夹启动的项目。
恶意程序还在每个盘下创建autorun.inf来启动恶意程序SafeDrv.exe。
O10 - LSP: MSAFD Tcpip [TCP/IP] = C:/WINDOWS/system32/microinfo/microinfo.dll|2010-6-21 14:10:33
在LSP上插入了microinfo.dll来限止杀毒网站的打开。删除microinfo.dll会导致网页打不开,需要用WinSockFix之类的软件来修复LSP。
O22 - SharedTaskScheduler: (ATlMy Class) - {C4560D12-CE25-4A2E-A5D4-B5070FCBE282} = C:/WINDOWS/System32/dysgn.dll
利用这种方式来启动的恶意程序比较少见。
O23组 报告系统服务和驱动。其中
O23 - 服务: HidServ (Human Interface Device Access) - C:/WINDOWS/System32/svchost.exe -k netsvcs
-> C:/PROGRA~1/qteri/gwrcd.biz|2010-6-21 13:20:7(自动)
O23 - 服务: Messenger (Messenger) - C:/WINDOWS/system32/svchost.exe-k netsvcs
-> C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic(自动)
都是直接修改了Windows系统服务调用的文件。
O24组报告了explorer的执行挂钩程序,这是恶意程序经常使用的。
O26组报告的是映像劫持技术。这是恶意程序阻止杀毒软件等系统防护软件启动常用的方法。
O29组报告的是IE的起始页、搜索页的设置。
DrWeb CureIt!查杀结果如下:
=========================
综合统计
=========================
已扫描对象: 14128
受感染对象: 108
受变种感染对象: 0
可疑对象: 2
广告软件: 1
拨号软件: 0
恶作剧程序: 0
风险程序: 0
黑客工具: 0
已修复: 22
已删除: 51
已重命名: 0
已隔离: 37
已忽略: 0
扫描速度: 840 Kb/s
扫描时间: 0:40:26
=========================
DrWeb CureIt!检测到了:
Master Boot Record HDD1 已被病毒感染 : Trojan.Alipop.5
Google了一下,这个东东被国外网友称为:Chinese "bootkit" 。
到http://tool.ikaka.com下载、安装卡卡安全助手。
到http://purpleendurer.168.com下载 IEFO_Man,删除O26 组中RA开头的项目,这些是阻止瑞星软件启动的,这样就可以启动卡卡安全助手了。系统修复,查杀流氓软件,清理启动项。删除各盘上的autorun.inf和SafeDrv.exe,以及桌面上的广告图标。用IEFO_Man把SafeDrv.exe、fbes.exe、188d.exe、nnaa.exe、system32Antihhlul.exe等恶意程序名加入IEFO,阻止它们启动。
用winRAR检查,发现这台电脑还中过文件夹变EXE文件的病毒,病毒文件删除,去除文件夹的隐藏属性。
重启电脑,居然又弹广告窗口,桌面又出现了几个广告图标,看来没清除干净。打开卡卡安全助手,用高级工具里的进程管理查看,发现几个可疑进程,终止并删除文件,再次检查清理启动项。
重启电脑,还是没解决。用pe_xscan扫描log,发现
O23 - 服务: Messenger (Messenger) - C:/WINDOWS/system32/svchost.exe-k netsvcs
-> C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic(自动)
还在,但这一项在卡卡安全助手里看不到。把这项干掉。终于清静了。
启动360杀毒软件,提示要联网升级才能打开监控,升就升,但1个cab文件半天都下载不回来。卸掉,换上半年免费的瑞星。
附部分恶意文件信息:
文件说明符 : C:/WINDOWS/system32/wbem/360tray.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 番茄花园
内部名称 : 工程2
源文件名 : 工程2.exe
创建时间 : 2010-6-21 12:11:21
修改时间 : 2010-6-21 12:11:21
大小 : 24576 字节 24.0 KB
MD5 : 8e0c3c6e7a136d76a27a5e27ae89d9da
SHA1: C4ABCFD62DFE7BD52D60E91679F4DCE992692D0C
CRC32: 5801399f
a-squared |
5.0.0.11 |
20100624063430 |
2010-06-24 |
-
|
0.080 |
AntiVir |
8.2.4.2 |
7.10.8.184 |
2010-06-24 |
TR/Scar.cift.1
|
0.276 |
Arcavir |
2009 |
201006240913 |
2010-06-24 |
Trojan.Scar.Cift
|
0.037 |
Authentium |
5.1.1 |
201006241456 |
2010-06-24 |
W32/VB-Downloader-Sml-based!Maximus(Heuristic)
|
1.378 |
AVAST! |
4.7.4 |
100624-0 |
2010-06-24 |
Win32:Malware-gen
|
0.005 |
AVG |
8.5.793 |
271.1.1/2960 |
2010-06-24 |
Generic18.AWX
|
0.302 |
BitDefender |
7.90123.6275436 |
7.32388 |
2010-06-24 |
Gen:Trojan.UserStartup.bm0@a8LfVtob(suspected)
|
4.108 |
ClamAV |
0.96.1 |
11255 |
2010-06-24 |
Trojan.Agent-165035
|
0.019 |
Comodo |
3.13.579 |
5199 |
2010-06-24 |
-
|
0.079 |
CP Secure |
1.3.0.5 |
2010.06.24 |
2010-06-24 |
-
|
0.040 |
Dr.Web |
5.0.2.3300 |
2010.06.24 |
2010-06-24 |
Trojan.Click1.12416
|
8.431 |
F-Prot |
4.4.4.56 |
20100624 |
2010-06-24 |
PossibleW32/VB-Downloader-Sml-based!Maximus
|
1.288 |
F-Secure |
7.02.73807 |
2010.06.24.04 |
2010-06-24 |
Trojan.Win32.Scar.cift[AVP]
|
10.552 |
GData |
21.402/21.144 |
20100624 |
2010-06-24 |
-
|
0.078 |
Ikarus |
T3.1.01.84 |
2010.06.24.76132 |
2010-06-24 |
Trojan-Dropper.Agent
|
6.922 |
Microsoft |
1.5902 |
2010.06.24 |
2010-06-24 |
-
|
0.080 |
Norman |
6.05.10 |
6.05.00 |
2010-06-23 |
-
|
4.007 |
nProtect |
20100622.01 |
8754154 |
2010-06-22 |
-
|
0.095 |
Quick Heal |
10.00 |
2010.06.24 |
2010-06-24 |
-
|
0.077 |
Sophos |
3.07.1 |
4.54 |
2010-06-24 |
Mal/Emogen-F
|
3.537 |
Sunbelt |
3.9.2426.2 |
6498 |
2010-06-23 |
-
|
0.078 |
The Hacker |
6.5.2.0 |
v00303 |
2010-06-23 |
-
|
0.092 |
VBA32 |
3.12.12.5 |
20100624.0925 |
2010-06-24 |
Trojan.Win32.Scar.cift
|
2.837 |
ViRobot |
20100623 |
2010.06.23 |
2010-06-23 |
-
|
0.078 |
VirusBuster |
4.5.11.10 |
10.126.100/2022635 |
2010-06-24 |
Trojan.Scar.UDE
|
2.312 |
卡巴斯基 |
5.5.10 |
2010.06.24 |
2010-06-24 |
Trojan.Win32.Scar.cift
|
0.077 |
安博士V3 |
2010.06.18.01 |
2010.06.18 |
2010-06-18 |
-
|
0.079 |
安天 |
2.0.18 |
20100620.4774407 |
2010-06-20 |
-
|
0.018 |
江民杀毒 |
13.0.900 |
2010.06.24 |
2010-06-24 |
-
|
0.084 |
熊猫卫士 |
9.05.01 |
2010.06.23 |
2010-06-23 |
-
|
0.083 |
瑞星 |
20.0 |
22.53.03.03 |
2010-06-24 |
-
|
0.077 |
赛门铁克 |
1.3.0.24 |
20100615.005 |
2010-06-15 |
Trojan.Gen
|
0.083 |
趋势科技 |
9.120-1004 |
7.264.10 |
2010-06-24 |
TROJ_SCAR.CE
|
0.021 |
迈克菲 |
5400.1158 |
6022 |
2010-06-23 |
Generic.dx!szd
|
16.360 |
金山毒霸 |
2009.2.5.15 |
2010.6.24.18 |
2010-06-24 |
-
|
0.080 |
飞塔 |
4.1.133 |
12.80 |
2010-06-23 |
-
|
文件说明符 : C:/Program Files/qteri/gwrcd.biz
属性 : ----
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-6-21 13:20:6
修改时间 : 2010-6-21 13:20:7
大小 : 2617344 字节 2.508 MB
MD5 : 6892a5622a761bd279cb8474f35bbe70
SHA1: D6DEF57E45BDF90EA91EBACCA95AC6BD327497F4
CRC32: 89028e68
http://www.virscan.org/report/da944a48f9d3cbf5136470f12c07e4c8.html
a-squared |
5.0.0.11 |
20100623154315 |
2010-06-23 |
-
|
40.088 |
AntiVir |
8.2.2.6 |
7.10.8.159 |
2010-06-23 |
TR/PSW.Bjlog.A
|
0.261 |
Arcavir |
2009 |
201006230158 |
2010-06-23 |
Trojan.Psw.Bjlog.Iiu
|
0.050 |
Authentium |
5.1.1 |
201006222127 |
2010-06-22 |
-
|
1.599 |
AVAST! |
4.7.4 |
100623-0 |
2010-06-23 |
-
|
0.071 |
AVG |
8.5.793 |
271.1.1/2957 |
2010-06-23 |
PSW.Generic8.BXF
|
0.231 |
BitDefender |
7.90123.6271520 |
7.32371 |
2010-06-23 |
-
|
4.032 |
ClamAV |
0.96.1 |
11249 |
2010-06-23 |
-
|
0.135 |
Comodo |
3.13.579 |
5192 |
2010-06-23 |
-
|
40.091 |
CP Secure |
1.3.0.5 |
2010.06.23 |
2010-06-23 |
-
|
0.437 |
Dr.Web |
5.0.2.3300 |
2010.06.23 |
2010-06-23 |
-
|
8.599 |
F-Prot |
4.4.4.56 |
20100622 |
2010-06-22 |
-
|
1.582 |
F-Secure |
7.02.73807 |
2010.06.23.03 |
2010-06-23 |
Trojan:W32/Bapkri.B[FSE]
|
0.157 |
GData |
21.394/21.141 |
20100622 |
2010-06-22 |
-
|
40.101 |
Ikarus |
T3.1.01.84 |
2010.06.23.76126 |
2010-06-23 |
Trojan-PWS.Win32.Bjlog
|
6.907 |
Microsoft |
1.5902 |
2010.06.22 |
2010-06-22 |
-
|
40.095 |
Norman |
6.05.10 |
6.05.00 |
2010-06-22 |
W32/Suspicious_Gen2.BEFHG
|
6.011 |
nProtect |
20100622.01 |
8754154 |
2010-06-22 |
-
|
40.092 |
Quick Heal |
10.00 |
2010.06.23 |
2010-06-23 |
-
|
40.086 |
Sophos |
3.07.1 |
4.54 |
2010-06-23 |
Mal/Zegost-E
|
3.575 |
Sunbelt |
3.9.2426.2 |
6490 |
2010-06-22 |
-
|
40.086 |
The Hacker |
6.5.2.0 |
v00303 |
2010-06-22 |
-
|
40.087 |
VBA32 |
3.12.12.5 |
20100623.0914 |
2010-06-23 |
-
|
2.980 |
ViRobot |
20100622 |
2010.06.22 |
2010-06-22 |
-
|
40.086 |
VirusBuster |
4.5.11.10 |
10.126.98/2021957 |
2010-06-23 |
-
|
2.752 |
卡巴斯基 |
5.5.10 |
2010.06.23 |
2010-06-23 |
Trojan-PSW.Win32.Bjlog.iiu
|
0.077 |
安博士V3 |
2010.06.18.01 |
2010.06.18 |
2010-06-18 |
-
|
40.088 |
安天 |
2.0.18 |
20100620.4774407 |
2010-06-20 |
-
|
0.017 |
江民杀毒 |
13.0.900 |
2010.06.23 |
2010-06-23 |
-
|
40.086 |
熊猫卫士 |
9.05.01 |
2010.06.22 |
2010-06-22 |
-
|
40.095 |
瑞星 |
20.0 |
22.53.02.04 |
2010-06-23 |
-
|
40.087 |
赛门铁克 |
1.3.0.24 |
20100615.005 |
2010-06-15 |
-
|
0.078 |
趋势科技 |
9.120-1004 |
7.262.13 |
2010-06-23 |
-
|
0.000 |
迈克菲 |
5400.1158 |
6022 |
2010-06-23 |
-
|
19.853 |
金山毒霸 |
2009.2.5.15 |
2010.6.23.21 |
2010-06-23 |
-
|
40.085 |
飞塔 |
4.1.133 |
12.78 |
2010-06-22 |
-
|
40.086 |
文件说明符 : C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-6-21 14:33:25
修改时间 : 2010-6-21 14:33:25
大小 : 2407568 字节 2.303 MB
MD5 : d80e6d3f1efd20feb23ffb667d0db62c
SHA1: 8473840841F9DA013E86B2F4FC278770664483C5
CRC32: 916e5484
a-squared |
5.0.0.11 |
20100623154315 |
2010-06-23 |
-
|
40.099 |
AntiVir |
8.2.2.6 |
7.10.8.159 |
2010-06-23 |
-
|
0.257 |
Arcavir |
2009 |
201006230158 |
2010-06-23 |
-
|
0.082 |
Authentium |
5.1.1 |
201006222127 |
2010-06-22 |
-
|
1.624 |
AVAST! |
4.7.4 |
100623-0 |
2010-06-23 |
-
|
0.047 |
AVG |
8.5.793 |
271.1.1/2957 |
2010-06-23 |
-
|
0.257 |
BitDefender |
7.90123.6271520 |
7.32371 |
2010-06-23 |
-
|
4.051 |
ClamAV |
0.96.1 |
11249 |
2010-06-23 |
-
|
1.736 |
Comodo |
3.13.579 |
5192 |
2010-06-23 |
-
|
40.086 |
CP Secure |
1.3.0.5 |
2010.06.23 |
2010-06-23 |
-
|
0.454 |
Dr.Web |
5.0.2.3300 |
2010.06.23 |
2010-06-23 |
-
|
10.906 |
F-Prot |
4.4.4.56 |
20100622 |
2010-06-22 |
-
|
1.574 |
F-Secure |
7.02.73807 |
2010.06.23.03 |
2010-06-23 |
Trojan:W32/Bapkri.B [FSE]
|
4.985 |
GData |
21.394/21.141 |
20100622 |
2010-06-22 |
-
|
40.086 |
Ikarus |
T3.1.01.84 |
2010.06.23.76126 |
2010-06-23 |
Trojan-PWS.Win32.Bjlog
|
8.495 |
Microsoft |
1.5902 |
2010.06.22 |
2010-06-22 |
-
|
40.086 |
Norman |
6.05.10 |
6.05.00 |
2010-06-22 |
-
|
6.012 |
nProtect |
20100622.01 |
8754154 |
2010-06-22 |
-
|
40.085 |
Quick Heal |
10.00 |
2010.06.23 |
2010-06-23 |
-
|
40.088 |
Sophos |
3.07.1 |
4.54 |
2010-06-23 |
Mal/Zegost-E
|
4.269 |
Sunbelt |
3.9.2426.2 |
6490 |
2010-06-22 |
-
|
40.090 |
The Hacker |
6.5.2.0 |
v00303 |
2010-06-22 |
-
|
40.086 |
VBA32 |
3.12.12.5 |
20100623.0914 |
2010-06-23 |
-
|
3.449 |
ViRobot |
20100622 |
2010.06.22 |
2010-06-22 |
-
|
40.086 |
VirusBuster |
4.5.11.10 |
10.126.98/2021957 |
2010-06-23 |
-
|
2.642 |
卡巴斯基 |
5.5.10 |
2010.06.23 |
2010-06-23 |
-
|
0.085 |
安博士V3 |
2010.06.18.01 |
2010.06.18 |
2010-06-18 |
-
|
40.103 |
安天 |
2.0.18 |
20100620.4774407 |
2010-06-20 |
-
|
0.022 |
江民杀毒 |
13.0.900 |
2010.06.23 |
2010-06-23 |
-
|
40.087 |
熊猫卫士 |
9.05.01 |
2010.06.22 |
2010-06-22 |
-
|
40.089 |
瑞星 |
20.0 |
22.53.02.04 |
2010-06-23 |
-
|
40.100 |
赛门铁克 |
1.3.0.24 |
20100615.005 |
2010-06-15 |
-
|
0.133 |
趋势科技 |
9.120-1004 |
7.262.10 |
2010-06-23 |
-
|
0.000 |
迈克菲 |
5400.1158 |
6021 |
2010-06-22 |
-
|
19.440 |
金山毒霸 |
2009.2.5.15 |
2010.6.23.18 |
2010-06-23 |
-
|
40.088 |
飞塔 |
4.1.133 |
12.78 |
2010-06-22 |
-
|
40.091 |
http://www.virscan.org/report/e59d29c562d032e755c187b3cdd2a342.html
分享到:
相关推荐
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
俄罗斯安全软件Dr.Web,Trojan. Plastix木马感染文件解除工具plstfix
我的电脑让学生插了一下U盘,结果电脑出现中毒现象(变慢、经常蓝屏、出错、自动重启),一查是染上了 假冒腾迅TXPLATFORM.EXE 的U盘病毒,属于 Trojan.Generic.Is.536802,此文介绍查杀方法
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。...
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
Churrasco.exe+nc.exe+http.exe提权工具
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
js.scob.trojan
2020年trojan最新windows64客户端
inst.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data.
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
dbg_x86_6.0.17.0.exe (的Win32内阁自解压)是一个可执行的软件微软( R ) Windows (注册商标) 2000操作系统版本6.0.0的微软公司。 dbg_x86_6.0.17.0.exe version 6.0.0 is most commonly found under the ...
新增106个新U盘类病毒的查杀,其中包括autorun.vbs system.exe Trojan.Win32.GameOlx.ir;BoyFine Worm-Script.VBS.Autorun.bc;nar.vbs Worm.Script.VBS.7474;.MS32DLL.dll.exe..VBs Worm.Script.VBS.Autorun.a;...
Trojan is a stable and efficient mobile lightweight log SDK that not only records general logs, such as Http, power changes, component life cycles, but also records the definition of the log, which it...
视频图像的编解码,将原始图像压缩成MPEG4格式,然后在客户端解压缩显示
本软件用于查杀各类已知或未知的...QQ密码使者、 QQ密码大盗、Trojan.QQSender.nicex、 Trojan.QQSender.ok530、 Trojan.QQSender.qiumei、Trojan.QQSender.qq3344 等2300余种病毒、木马测试,查杀准确率达98%以上!
可查杀最新木马,主要用于查杀Trojan.Malscript!html等易中木马