遭遇 Backdoor.Win32.Agent.amb / serivces.exe

遭遇 Backdoor.Win32.Agent.amb / serivces.exe

endurer 原创
2007-07-23 第1版

有网友说，他用U盘从另一台电脑A中拷贝了文件，回来把U盘接入电脑后，卡巴报告发现病毒。请偶远程协助检查电脑A。

下载 pe_xscan 扫描 log并分析，发现如下可疑项：
/===
pe_xscan 07-07-21 by Purple Endurer
2007-7-23 12:46:12
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O23 - 服务: npkycryp (npkycryp) - C:/Program Files/Tencent/QQ/npkycryp.sys(手动)

O23 - 服务: Services Management (Services Management) - C:/WINDOWS/system32/serivces.exe|2000-2-28 16:10:36(自动)

O25 - InsCom: {18540CD7-F702-7B77-2220-D75F7C5EBD68} = C:/pagefile.pif
===/

停止并禁用服务：Services Management (Services Management)

到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo，将可疑文件打包备份并提取文件信息。

下载 Dr.Web CureIt!查杀了serivces.exe

进注册表编辑器删除了注册表中可疑项的信息。

用 WinRAR 删除 Windows临时文件夹，IE临时文件夹，d:/windows/prefetch 中可以删除的文件。

文件说明符 : c:/windows/system32/serivces.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-7-19 15:8:8
修改时间 : 2000-2-28 16:10:36
访问时间 : 2007-7-23 0:0:0
大小 : 43008 字节 42.0 KB
MD5 : c37c802b253b2ca793d595697c732116

卡巴报为 Backdoor.Win32.Agent.amb／NPack，Dr.Web 报为 BackDoor.Attacker

C:/pagefile.pif没有找到。