04-03/遭遇 rookit/ynqcq.sys 和 wswci.dll,xexq.dll,baidu.dll等广告程序/2版

endurer 原创
2007-04-01 第2版 补充了Kasersky对一些可疑文件的反应
2007-04-01 第1版

前两天，一位网友的电脑的瑞星报告发现RootKit.Agent.va，文件名为ynqcq.sys，但清除不了，又使用一个木马查杀软件发现有广告程序，因为是未注册，无法清除。

瑞星的登录前扫描对付rootkit是不错的，可惜这位网友使用了自动登录Windows……

用 pe_xscan 扫描日志，发现如下可疑项（有了分析网页，效率提高了很多）：
/---
pe_xscan 07-03-17 by Purple Endurer
2007-3-29 15:17:54
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/System32/svchost.exe * 916 | 2005-8-14 5:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
c:/progra~1/common~1/lgqmidb/lgqmidb.dll | 2007-3-25 15:2:31 | | 2, 8, 0, 1 | | | 2, 8, 0, 1 | | | |

C:/WINDOWS/Explorer.EXE * 1260 | 2005-8-14 5:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINDOWS/system32/wswci.dll

C:/WINDOWS/system32/rundll32.exe * 164 | 2005-8-14 5:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | rundll | RUNDLL.EXE

C:/PROGRA~1/nund/xexq.dll | 2007-3-25 14:58:29 | AdDm | 4, 1, 0, 4 | AdDm | Copyright ? 2006 | 4, 1, 0, 4 | | | AdDm | AdDm.exe

C:/PROGRA~1/nund/cjcv.dll | 2007-3-25 14:58:29 | stdvote | 1, 0, 0, 6 | stdvote | Copyright ? 2006 | 1, 0, 0, 6 | | | stdvote | stdvote.dll

C:/WINDOWS/system32/zlglfef.exe * 2068 | 2005-3-25 14:59:0
C:/WINDOWS/system32/zlglfef.exe | 2005-3-25 14:59:0

O4 - HKLM/../Policies/Explorer/Run: [sys41] C:/Program Files/Common Files/d1216.exe
O4 - HKLM/../Policies/Explorer/Run: [sys42] C:/Documents and Settings/NetworkService/Local Settings/History/d16704.exe
O4 - Global Startup: sys41.lnk -> C:/Program Files/Common Files/d1216.exe
O4 - Global Startup: sys42.lnk ->

O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/restrictions 存在 IE或Internet选项可能受到限制
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel 存在 IE或Internet选项可能受到限制

O23 - 服务: dump_wmimmc (dump_wmimmc) - C:/WINDOWS/system32/drivers/dump_wmimmc.sys(手动)

O23 - 服务: fgqmcdb () - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/PROGRA~1/COMMON~1/lgqmidb/lgqmidb.dll | 2007-3-25 15:2:31 | | 2, 8, 0, 1 | | | 2, 8, 0, 1 | | | | (自动)

O23 - 服务: ndcia (ndcia) - C:/WINDOWS/system32/drivers/ndcia.sys(自动)

O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | NPF Driver | 3, 0, 0, 18 | NPF Driver - TME extensions | Copyright ? 2003 | 3, 0, 0, 18 | Politecnico di Torino | | NPF + TME | NPF.RC(手动)

O23 - 服务: npkcrypt (npkcrypt) - C:/WINDOWS/system32/qqedit/npkcrypt.sys | 2006-12-7 18:17:18 | nProtect KeyCrypt Driver | 4. 0. 0. 0 | nProtect KeyCrypt Driver | Copyright (C) INCA Internet. 2000-2005 | 2005. 6. 22. 1 | INCA Internet Co., Ltd.| ? | npkcrypt.sys | npkcrypt.sys(自动)

O23 - 服务: NPPTNT2 (NPPTNT2) - C:/WINDOWS/system32/npptNT2.sys | 2005-1-4 17:43:8 | nProtect NPSC Kernel Mode Driver for NT | 2005, 1, 5, 1 | nProtect NPSC Kernel Mode Driver for NT | Copyright ? 2000-2005 INCA Internet | 2005, 1, 5, 1 | INCA Internet Co., Ltd. | nProtect | npptNT2 | npptNT2.sys(手动)

O23 - 服务: pxxzqo84 (pxxzqo84) - System32/DRIVERS/pxxzqo84.sys(禁用)

O23 - 服务: romman (romman) - C:/WINDOWS/system32/drivers/romman.sys(自动)

O23 - 服务: stdio (stdio) - C:/WINDOWS/system32/drivers/stdio.sys | 2007-3-25 16:13:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | stdio Manager Library | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | stdio.DLL | stdio.DLL(自动) Kaspersky 报为 Trojan.Win32.Agent.afb

O23 - 服务: vssl (Std vssl Service) - C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/nund/xexq.dll,Service -s(自动)

O23 - 服务: ynqcq (ynqcq) - System32/DRIVERS/ynqcq.sys(引导)
---/

下载Dr.Web CureIt扫描，只清除了d1216.exe等几个d开的恶意文件。
用IceSword强制删除了ynqcq.sys，stdio.sys及其在注册表中的服务项。
stdio.sys比较牛，改名后又自动恢复为原名，注册表中的服务项在regedit中也删不了。

另一个牛文件是C:/WINDOWS/system32/wswci.dll，Kaspersky 报为 Trojan-Downloader.Win32.Agent.bbb，Windows不存认这个文件存在，连文件时间都无法获取，还好用IceSword复制了一个，传了回来，再强制删除。本来先用IceSword把它从内存中卸载掉更好，不过远程使用IceSword太累了……

在c:/windows/system32下发现了一些可疑文件：realsled.exe（Kaspersky报为not-a-virus:AdWare.Win32.Agent.bs），_ao1.exe（Kaspersky报为Trojan-Downloader.Win32.Agent.bld），baidu.dll，ntdl1.dll（Kaspersky报为not-a-virus:AdWare.Win32.Agent.bs）等可疑文件。

用HijackThis修复，其中O4 - HKLM/../Policies/Explorer/Run这两个是HijackThis 1.99.1不能修复的，可以用瑞星卡卡安全助手来取消。

C:/PROGRA~1/COMMON~1/lgqmidb、C:/PROGRA~1/nund这两个文件夹中的东东很可疑

C:/PROGRA~1/nund/xexq.dll的内部名是AdDm.exe，Ad download and manager（广告下载管理器）？
C:/PROGRA~1/nund/cjcv.dll内部名是stdvote.dll，与广告程序stdstub的一个文件同名……

网友却说是系统备份的东东，没处理……

结果重启电脑后，那个木马查杀软件仍然报告发现广告程序……让网友用IceSword去删除这两个文件夹……