360卫士报 comres.dll 为 Win32.Trojan.PWS.a.rgrk

360卫士报comres.dll为Win32.Trojan.PWS.a.rgrk

endurer 原创
2009-06-27 第1版

一位网友说的他的电脑中的360卫士将 c:/windows/system32/comres.dll 报为Win32.Trojan.PWS.a.rgrk，按提示重启电脑也不能清除，请偶帮忙清除。

替换Windows系统文件c:/windows/system32/comres.dll的病毒近段时间出现的比较多。朋友的电脑出现的这个问题是否属于这种情况还得检验一下。

到 http://purpleendurer.ys168.com 下载 FileInfo 提取 c:/windows/system32/comres.dll的信息：

文件说明符 : C:/WINDOWS/system32/comres.dll
属性 : ----
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2009-6-24 2:23:18
大小 : 23040 字节 22.512 KB
MD5 : 5da7c5913928a6a1348dcc565551aee2
SHA1: 7C9F873925C1FBD5632E989357710CFE1FE12376
CRC32: c896c9b6

没有M$的数字签名，确实是被病毒替换了。

再用 FileInfo 提取 c:/windows/system32/dllcache/comres.dll的信息：

文件说明符 : C:/WINDOWS/system32/dllcache/comres.dll
属性 : A-HR
数字签名:Microsoft Corporation
PE文件:是
语言 : 中文(中国)
文件版本 : 2001.12.4414.258
版权 : 版权所有 (C) Microsoft Corp. 1995-1999
产品版本 : 03.00.00.4414
产品名称 : COM 服务
公司名称 : Microsoft Corporation
合法商标 : Microsoft(R) 是 Microsoft Corporation 的注册商标。Windows(TM) 是 Microsoft Corporation 的商标。
内部名称 : COMRES.DLL
创建时间 : 2008-7-20 10:42:36
修改时间 : 2004-8-17 12:0:0
大小 : 615936 字节 601.512 KB
MD5 : b28585002eed6f4e45a5c084b7c7255d
SHA1: 30B773274886095E3958239C82C48BB976B7C2AC
CRC32: b1ebe953

这个才是正牌的。

把 C:/WINDOWS/system32 中的 comres.dll 改名为 comres.dll.x，再把C:/WINDOWS/system32/dllcache 中的 comres.dll 复制到 C:/WINDOWS/system32 中。

用360卫士的文件粉碎器将 comres.dll.x 粉碎。

到 http://purpleendurer.ys168.com 下载 bat_do，将 C:/WINDOWS/system32/comres.dll.x 加入 bat_do 文件列表，然后生成去除属性、删除和改名命令，下次启动时执行。

重启电脑，再用 360卫士 扫描，未发现木马。

附病毒文件信息：

文件 comres.rar 接收于 2009.06.27 10:14:49 (UTC)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.5.0.18	2009.06.27	-
AhnLab-V3	5.0.0.2	2009.06.26	-
AntiVir	7.9.0.199	2009.06.26	-
Antiy-AVL	2.0.3.1	2009.06.26	-
Authentium	5.1.2.4	2009.06.27	-
Avast	4.8.1335.0	2009.06.26	-
AVG	8.5.0.339	2009.06.27	-
BitDefender	7.2	2009.06.27	-
CAT-QuickHeal	10.00	2009.06.26	-
ClamAV	0.94.1	2009.06.27	-
Comodo	1451	2009.06.27	-
DrWeb	5.0.0.12182	2009.06.27	-
eSafe	7.0.17.0	2009.06.25	-
eTrust-Vet	31.6.6582	2009.06.26	-
F-Prot	4.4.4.56	2009.06.26	-
F-Secure	8.0.14470.0	2009.06.27	-
Fortinet	3.117.0.0	2009.06.27	-
GData	19	2009.06.27	-
Ikarus	T3.1.1.64.0	2009.06.27	Generic.PWS.Games
Jiangmin	11.0.706	2009.06.27	-
K7AntiVirus	7.10.768	2009.06.19	-
Kaspersky	7.0.0.125	2009.06.27	-
McAfee	5658	2009.06.26	-
McAfee+Artemis	5658	2009.06.26	Artemis!5DA7C5913928
McAfee-GW-Edition	6.7.6	2009.06.26	-
Microsoft	1.4803	2009.06.27	-
NOD32	4193	2009.06.26	-
Norman	6.01.09	2009.06.26	-
nProtect	2009.1.8.0	2009.06.27	-
Panda	10.0.0.16	2009.06.26	-
PCTools	4.4.2.0	2009.06.26	-
Prevx	3.0	2009.06.27	-
Rising	21.35.52.00	2009.06.27	Trojan.PSW.Win32.GameOnline.drv
Sophos	4.43.0	2009.06.27	-
Sunbelt	3.2.1858.2	2009.06.27	-
Symantec	1.4.4.12	2009.06.27	-
TheHacker	6.3.4.3.356	2009.06.27	-
TrendMicro	8.950.0.1094	2009.06.26	-
VBA32	3.12.10.7	2009.06.27	-
ViRobot	2009.6.26.1806	2009.06.26	-
VirusBuster	4.6.5.0	2009.06.26	-

附加信息

File size: 9928 bytes

MD5...: bf0f029aa8e7a53d5cfc0c7a3ac49c78

SHA1..: f55c0d3e0008aef4342370f85ac73ded58fe10d6

SHA256: abd0b81261c91ca2f94c4b3414334da98bc351aaf4b7073d60b82ace7bfa7939

ssdeep: 192:HuU2UChZtutr5zZrZfG3yI3g0gOqvUnyKE6S12beJ2z11BuA3US:OUsh/85z
i3bgOQUnyGS126Ux1BvkS

PEiD..: -

TrID..: File type identification
RAR Archive (83.3%)
REALbasic Project (16.6%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set
-