我的电脑图标变了?原来是Trojan-Downloader.Win32.Agent.mkj替换了explorer.exe1
endurer 原创
2008-04-11 第1版
一位同事说他的电脑中了病毒,avast!不停地报病毒,360卫士没反应,用恶意软件清理助手(roguecleaner)扫描总发现恶意程序但清除不了。桌面上的“我的电脑”图标也变了。请偶帮忙清理。
由于 avast! 不停地弹出对话框报告病毒,影响操作,所以先停止 avast! 的实时监控,
用恶意软件清理助手(roguecleaner)扫描,居然发现:
pcibus.sys
pcidisk.sys
pcihdd.sys
phy.sys
puid.sys
usb32k.sys
msaclue.sys
难道是中了机器狗?
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 08-03-27 by Purple Endurer
2008-4-10 9:45:41
Windows XP Service Pack 2(5.1.2600)
管理员用户组
正常模式
C:/WINDOWS/ctfmon.exe * 1672 | 2008-4-10 0:38:7
C:/WINDOWS/ctfmon.exe * 3688 | 2008-4-10 0:38:7
C:/WINDOWS/ctfmon.exe * 3716 | 2008-4-10 0:38:7
C:/WINDOWS/System32/Explorer.EXE * 3740 | 2004-8-17 4:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
O23 - 服务: mhfp (mhfp) - C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp14.tmp(自动)
O24 - ShlExecHook: [0] - {D7B21266-AA85-44b8-B516-3B1A69827400} = 0
HKLM/SHOWALL 类型非dword
===/
没有发现恶意软件清理助手报的东东。
由于桌面上的“我的电脑”图标也变了,而且 pe_xscan 的log中,没有发现Windows的“壳”进程:c:/windows/explorer.exe,却有 C:/WINDOWS/System32/Explorer.EXE。怀疑电脑中了感染型病毒。
到 http://PurpleEndurer.ys168.com 下载 FileInfo 和 bat_do。
用 FileInfo 提取 C:/WINDOWS/Explorer.EXE 的信息如下:
文件说明符 : C:/WINDOWS/Explorer.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-10 0:0:0
大小 : 976896 字节 954.0 KB
MD5 : 3d1ac1ae5b34d01e2b7743568180eac0
SHA1: D147634C91030F36E4C3C8F0280B46AA55489ED0
CRC32: 2abccd63
居然没有版本信息,明显不对。
用 fc 命令比较发现 C:/WINDOWS/Explorer.EXE 与 C:/WINDOWS/system32/dllcache/Explorer.EXE 相同,而与 C:/WINDOWS/system32/Explorer.EXE 不同。
下载 DrWeb CureIt! 扫描,部分结果如下:
===================================================
Dr.Web(R)大蜘蛛反病毒扫描程序 v4.44.5 (4.44.5.03270)
日志生成时间: 2008-04-10, 09:49:39 [Administrator]
===================================================
引擎版本: 4.44 (4.44.0.09170)
引擎API版本: 2.02
[内存检测] 没有发现病毒
c:/windows/ctfmon.exe 已加壳,方式: UPACK
>c:/windows/ctfmon.exe 已加壳,方式: BINARYRES
>>c:/windows/ctfmon.exe 已加壳,方式: UPACK
>>>c:/windows/ctfmon.exe 可能已被感染了 : DLOADER.Trojan
C:/WINDOWS/explorer.exe 已加壳,方式: UPACK
>C:/WINDOWS/explorer.exe 已加壳,方式: BINARYRES
>>C:/WINDOWS/explorer.exe 已加壳,方式: UPACK
>>>C:/WINDOWS/explorer.exe 可能已被感染了 : DLOADER.Trojan
C:/WINDOWS/system32/e0.exe 已加壳,方式: UPACK
>C:/WINDOWS/system32/e0.exe 可能已被感染了 : BACKDOOR.Trojan
C:/WINDOWS/system32/e1.exe 已加壳,方式: BINARYRES
>C:/WINDOWS/system32/e1.exe 已加壳,方式: UPACK
>>C:/WINDOWS/system32/e1.exe 已被病毒感染 : Trojan.PWS.Gamania.9135 - 已删除
C:/WINDOWS/system32/e7.exe 已加壳,方式: UPACK
>C:/WINDOWS/system32/e7.exe 已加壳,方式: BINARYRES
>>C:/WINDOWS/system32/e7.exe 已被病毒感染 : Trojan.PWS.Wsgame.4365 - 已删除
果然不出所料,C:/WINDOWS/explorer.exe 被感染/替换了~
(未完待续)
分享到:
相关推荐
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
1、Trojan-Ransom.Win32.Rakhni 2、Trojan-Ransom.Win32.Aura 3、Trojan-Ransom.Win32.Agent.iih 4、Trojan-Ransom.Win32.Autoit 5、Trojan-Ransom.AndroidOS.Pletor (安卓下的勒索软件) 6、Trojan-Ransom.Win32....
trojan
2020年trojan最新windows64客户端
RannohDecryptor是卡巴斯基推出的一个Rannoh勒索病毒解密工具,可以解密Rannoh在内的7款勒索软件加密的文件,包括Polyglot、Rannoh、AutoIt、Fury...7、Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)
Trojan Client
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
java-trojan-源码.rar
trojan-Qt5客户端-windows版本,小巧好用,图形化界面。
trojan-qt5 for linux
[confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar [confluence插件] easymind-3.1.2.jar ...
trojan-qt5.app.zip
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
[confluence插件] multiexcerpt-conf-plugin-4-5.6.30 [confluence插件] multiexcerpt-conf-plugin-4-5.6.30 [confluence插件] multiexcerpt-conf-plugin-4-5.6.30 [confluence插件] multiexcerpt-conf-plugin-4-5.6...
[confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr [confluence插件] treecopy-2.6.51.obr ...
[confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15 [confluence插件] git-plugin-2.12.15[confluence插件] git-...
[confluence插件] gliffy-confluence-plugin-9.7.4.obr [confluence插件] gliffy-confluence-plugin-9.7.4.obr [confluence插件] gliffy-confluence-plugin-9.7.4.obr [confluence插件] gliffy-confluence-plugin-...
[confluence插件] confluence-markdown-macro-1.6.22.jar [confluence插件] confluence-markdown-macro-1.6.22.jar [confluence插件] confluence-markdown-macro-1.6.22.jar [confluence插件] confluence-markdown-...