遭遇 Trojan.Win32.KillFiles.m, Packer.Mian007等

遭遇 Trojan.Win32.KillFiles.m, Packer.Mian007等

endurer 原创
2007-09-18 第1版

刚才一位网友说他的电脑最近启动很慢，让偶通过QQ远程协助检查。

下载 pe_xscan 扫描 log 并分析，发现如下可疑项：
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-18 12:53:3
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/system32/EXPLORER.EXE * 1428 | 2006-10-25 8:32:36 | Microsoft(R) Windows(R) Operating System | 6.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.2900.2180 | Microsoft Corporation| ? | EXPLORER | EXPLORER.EXE

C:/WINDOWS/svchost.exe * 1768 | 2007-5-29 15:42:16 | | 1.00| ?| ? | 1.00| ?| ? | 1 | 1.exe

C:/Program Files/Yayad/AdPop.Exe * 2440 | 2007-1-11 1:54:32 | Ad. Pop | 1.0.0.1 | Ad. Popup | (c) CDM. All rights reserved. | 1.0.0.1 | CDM| ? | AdPop.exe | AdPop.exe
C:/Program Files/Yayad/autoupdate.dll | 2007-1-11 1:53:46 | autoupdate | 1.0.0.1 | autoupdate | (c) <Yayad>. All rights reserved. | 1.0.0.1 | CDM| ? | autoupdate.dll | autoupdate.dll

C:/Program Files/Internet Explorer/IEXPLORE.EXE * 1484 | 2004-8-17 20:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/Program Files/Yayad/AdCore.dll | 2007-1-11 1:54:52 | Ad Core | 1.0.0.1 | Ad Core | (c) CDM. All rights reserved. | 1.0.0.1 | CDM| ? | AdCore.dll | AdCore.dll

F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE

O4 - HKCU/../Run: [wsctf.exe] wsctf.exe
O4 - HKCU/../Run: [EXPLORER.EXE] EXPLORER.EXE

O4 - Global Startup: Windows.hta -> Invalid lnk file

I:/autorun.inf
/-----
[autorun]
OPEN=Autorun.exe
ICON=PR2.exe
-----/

O23 - 服务: c12063328 (c12063328) - System32/drivers/c12063328.sys(引导)

O23 - 服务: Internet Explorer (Internet Explorer Service) - C:/WINDOWS/svchost.exe | 2007-5-29 15:42:16 | | 1.00| ?| ? | 1.00| ?| ? | 1 | 1.exe(自动)

O23 - 服务: Mysee2_Runtime () - C:/WINDOWS/System32/svchost.exe -k mysee2 -> C:/WINDOWS/system32/gy/runtime.dll | 2006-7-5 14:59:14 | runtime 应用程序 | 1, 0, 0, 3 | <Mysee Live!> Runtime | (C) 北京高维视讯科技有限公司。保留所有权利。 | 1, 0, 0, 3 | 北京高维视讯科技有限公司| ? | <Mysee Live!> Runtime | runtime.exe(手动)

O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: pohci13F (pohci13F) - C:/DOCUME~1/www/LOCALS~1/Temp/pohci13F.sys(手动)
O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:/WINDOWS/System32/drivers/ws2ifsl.sys | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(禁用)
===/

到 http://endurer.ys168.com 下载 ProcView 和 HijackThis。

用ProcView终止进程：

C:/WINDOWS/system32/EXPLORER.EXE
C:/WINDOWS/svchost.exe

用 HijackThis 修复 F2 和 O4。

到控制面板的添加删除程序里 卸载 Yayad

打开注册表编辑器删除 O23 的项目。

到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份，再删除。

文件说明符 : C:/WINDOWS/svchost.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 :
公司名称 :
合法商标 :
内部名称 : 1
源文件名 : 1.exe
创建时间 : 2007-5-29 15:42:15
修改时间 : 2007-5-29 15:42:16
访问时间 : 2007-9-18 0:0:0
大小 : 16384 字节 16.0 KB
MD5 : d339fe10cf5ccd99bc95a4e702579301
HSA1: 8AEF0ADDE759AF973ED10D798CC067C8BA2E4373

瑞星报为 Trojan.Win32.KillFiles.m

Scanned file: svchost.exe - Infected

svchost.exe - infected by Trojan.Win32.KillFiles.m

文件说明符 : C:/WINDOWS/system32/EXPLORER.EXE
属性 : -SHR
语言 : 中文(中国)
文件版本 : 6.2900.2180
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.2900.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : EXPLORER
源文件名 : EXPLORER.EXE
创建时间 : 2007-8-21 20:52:35
修改时间 : 2006-10-25 8:32:36
访问时间 : 2007-9-18 0:0:0
大小 : 84701 字节 82.733 KB
MD5 : 1a58d82fe73fb4e9de10facb0ef22881
HSA1: 71B949ACEBB15DA95057B3F9FBC1BE4CAC461B69

瑞星报为 Packer.Mian007

Scanned file: EXPLORER.EXE - Infected

EXPLORER.EXE - infected by Virus.Win32.VB.bu

文件说明符 : C:/WINDOWS/system32/gy/runtime.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 0, 3
说明 : <Mysee Live!> Runtime
版权 : (C) 北京高维视讯科技有限公司。保留所有权利。
备注 :
产品版本 : 1, 0, 0, 3
产品名称 : runtime 应用程序
公司名称 : 北京高维视讯科技有限公司
合法商标 :
内部名称 : <Mysee Live!> Runtime
源文件名 : runtime.exe
创建时间 : 2006-8-1 13:2:42
修改时间 : 2006-7-5 14:59:14
访问时间 : 2007-9-18 0:0:0
大小 : 569344 字节 556.0 KB
MD5 : d99151f4e4fecac91862edaad4e3c055
HSA1: 45A1B6EE195F537B58E8791E593F93EE21DF2389

文件说明符 : I:/PR2.exe
属性 : ---R
语言 : 德语(德国)
文件版本 : 1.1.1.8
说明 : Port Royale 2
版权 : Copyright (C) 2002-2004
备注 :
产品版本 : 1.1.1.8
产品名称 :
公司名称 : Ascaron Entertainment GmbH
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2004-12-10 23:30:16
修改时间 : 2004-12-10 23:30:16
访问时间 : 1601-1-1 8:0:0
大小 : 7847936 字节 7.496 MB
MD5 : 3f5e3ac92cd73f92024a4eedc0ddc512
HSA1: E1F514FA33F82E40A83D7BAE964B1BF2E9DD1539

文件说明符 : I:/Autorun.exe
属性 : ---R
语言 : 德语(德国)
文件版本 : 1, 0, 0, 0
说明 : AutoRun
版权 : Copyright (C) 2002
备注 : Scripted Autorun
产品版本 : 1, 0, 0, 0
产品名称 : Scriptable AutoRun
公司名称 : Ascaron Entertainment GmbH
合法商标 :
内部名称 : AutoRun
源文件名 : AutoRun.exe
创建时间 : 2004-4-4 9:53:44
修改时间 : 2004-4-4 9:53:44
访问时间 : 1601-1-1 8:0:0
大小 : 270336 字节 264.0 KB
MD5 : 494e74d927921d8da85b3a5e7ae93652
HSA1: D962A1D0EF216B9C56F21B87E1565AE31E3ACD6C

C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Windows.hta
包含 javascript 脚本，功能是运行 IE，把窗口移动到屏幕显示范围之外，打开hxxp://www.i***f5*6.cn/l*o*/downmm.html，然后运行下载到 IE 缓存中的 abc[1].exe。

用WinRAR 删除Windows临时文件夹，IE临时文件夹，d:/windows/prefetch 中可以删除的文件和文件夹。