`
caobihole
  • 浏览: 941603 次
文章分类
社区版块
存档分类
最新评论

05-14/抓获会关闭瑞星实时监控的HiJack.dll、Worm.Win32.Agent.z等/v2

 
阅读更多

endurer 原创
2007-05-14 第2版 补充瑞星的反应
2007-05-10 第1

一位朋友说他的电脑中的瑞星的实时监控会自动关闭,即使手动打开后,过一会又会自动关闭,U盘也打不开,让偶帮忙检修。

检查发现,这位朋友用的瑞星病毒库是2007-02-11的,升不了级。

用 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-03-17 by Purple Endurer
2007-5-10 21:31:14
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/Explorer.EXE * 1400 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll | 2007-5-10 15:9:40 | Microsoft(R) Windows (R) System | 5.00.1.0.1 | Microsoft Corporation Windows DLL | Copyright (C) 2006.6 | 1. 0. 0. 1 | Microsoft Corporation| ? | System | System.dll

H:/autorun.inf
/-----
[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell/Auto/command=Ghost.pif
shell=Auto
-----/

O24 - [] - {03F6E661-0D5F-3FAD-3E2B-E261E3CB6CD2} = C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll
===/

其中H:为U盘盘符。

检查H盘,发现 Ghost.pif 和 TIMP1atform.exe。

http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 0.0.0003 beta1。

用 FileInfo 提取文件信息如下:


文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/HiJack.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-9 11:41:25
修改时间 : 2007-5-10 15:9:40
访问时间 : 2007-5-10 0:0:0
大小 : 12341 字节 12.53 KB
MD5 : f3d36c0a5bac3eae2a28063cac087102

Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo,瑞星报为:Trojan. HiJack.a

文件说明符 : H:/Ghost.pif
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 16:12:50
修改时间 : 2007-5-9 11:41:22
访问时间 : 2007-5-10 0:0:0
大小 : 18997 字节 18.565 KB
MD5 : 45680654f7e984aa1781fbee26603042

Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo

文件说明符 : H:/TIMP1atform.exe
属性 : ASHR
获取文件版本信息大小失败!创建时间 : 2007-1-22 10:14:35
修改时间 : 2007-5-10 16:57:42
访问时间 : 2007-5-10 0:0:0
大小 : 266752 字节 260.512 KB
MD5 : 049058e75e502174052a23655034cbaa

Kaspersky 报为 Worm.Win32.Agent.z

用 bat_do 0.0.0003 beta1 调用RAR打包,并使用延时删除。

重启电脑后,瑞星实时监控不再自动关闭……

安装瑞星卡卡安全助手,卸载 O24 项。

分享到:
评论

相关推荐

Global site tag (gtag.js) - Google Analytics