我的电脑图标变了？原来是Trojan-Downloader.Win32.Agent.mkj替换了explorer.exe1

我的电脑图标变了？原来是Trojan-Downloader.Win32.Agent.mkj替换了explorer.exe1

endurer 原创
2008-04-11 第1版

　　一位同事说他的电脑中了病毒，avast!不停地报病毒，360卫士没反应，用恶意软件清理助手(roguecleaner）扫描总发现恶意程序但清除不了。桌面上的“我的电脑”图标也变了。请偶帮忙清理。

　　由于 avast! 不停地弹出对话框报告病毒，影响操作，所以先停止 avast! 的实时监控，

　　用恶意软件清理助手(roguecleaner）扫描，居然发现：
pcibus.sys
pcidisk.sys
pcihdd.sys
phy.sys
puid.sys
usb32k.sys
msaclue.sys

难道是中了机器狗？

　　下载 pe_xscan 扫描 log 并分析，发现如下可疑项：

/===
pe_xscan 08-03-27 by Purple Endurer
2008-4-10 9:45:41
Windows XP Service Pack 2(5.1.2600)
管理员用户组
正常模式

C:/WINDOWS/ctfmon.exe * 1672 | 2008-4-10 0:38:7
C:/WINDOWS/ctfmon.exe * 3688 | 2008-4-10 0:38:7
C:/WINDOWS/ctfmon.exe * 3716 | 2008-4-10 0:38:7
C:/WINDOWS/System32/Explorer.EXE * 3740 | 2004-8-17 4:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
O23 - 服务: mhfp (mhfp) - C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp14.tmp(自动)
O24 - ShlExecHook: [0] - {D7B21266-AA85-44b8-B516-3B1A69827400} = 0
HKLM/SHOWALL 类型非dword
===/

没有发现恶意软件清理助手报的东东。

　　由于桌面上的“我的电脑”图标也变了，而且 pe_xscan 的log中，没有发现Windows的“壳”进程：c:/windows/explorer.exe，却有 C:/WINDOWS/System32/Explorer.EXE。怀疑电脑中了感染型病毒。

　　到 http://PurpleEndurer.ys168.com 下载 FileInfo 和 bat_do。

　　用 FileInfo 提取 C:/WINDOWS/Explorer.EXE 的信息如下：

文件说明符 : C:/WINDOWS/Explorer.EXE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-10 0:0:0
大小 : 976896 字节 954.0 KB
MD5 : 3d1ac1ae5b34d01e2b7743568180eac0
SHA1: D147634C91030F36E4C3C8F0280B46AA55489ED0
CRC32: 2abccd63

居然没有版本信息，明显不对。

　　用 fc 命令比较发现 C:/WINDOWS/Explorer.EXE 与 C:/WINDOWS/system32/dllcache/Explorer.EXE 相同，而与 C:/WINDOWS/system32/Explorer.EXE 不同。

　　下载 DrWeb CureIt! 扫描，部分结果如下：
===================================================
Dr.Web(R)大蜘蛛反病毒扫描程序 v4.44.5 (4.44.5.03270)
日志生成时间： 2008-04-10, 09:49:39 [Administrator]
===================================================
引擎版本: 4.44 (4.44.0.09170)
引擎API版本: 2.02

[内存检测] 没有发现病毒

c:/windows/ctfmon.exe 已加壳，方式： UPACK
>c:/windows/ctfmon.exe 已加壳，方式： BINARYRES
>>c:/windows/ctfmon.exe 已加壳，方式： UPACK
>>>c:/windows/ctfmon.exe 可能已被感染了 ： DLOADER.Trojan

C:/WINDOWS/explorer.exe 已加壳，方式： UPACK
>C:/WINDOWS/explorer.exe 已加壳，方式： BINARYRES
>>C:/WINDOWS/explorer.exe 已加壳，方式： UPACK
>>>C:/WINDOWS/explorer.exe 可能已被感染了 ： DLOADER.Trojan

C:/WINDOWS/system32/e0.exe 已加壳，方式： UPACK
>C:/WINDOWS/system32/e0.exe 可能已被感染了 ： BACKDOOR.Trojan

C:/WINDOWS/system32/e1.exe 已加壳，方式： BINARYRES
>C:/WINDOWS/system32/e1.exe 已加壳，方式： UPACK
>>C:/WINDOWS/system32/e1.exe 已被病毒感染 ： Trojan.PWS.Gamania.9135 - 已删除

C:/WINDOWS/system32/e7.exe 已加壳，方式： UPACK
>C:/WINDOWS/system32/e7.exe 已加壳，方式： BINARYRES
>>C:/WINDOWS/system32/e7.exe 已被病毒感染 ： Trojan.PWS.Wsgame.4365 - 已删除

果然不出所料，C:/WINDOWS/explorer.exe 被感染/替换了~

(未完待续)