一位朋友的电脑最近出现异常情况,开机进入桌面后会自动安装 7k7k游戏、淘宝网、开心小工具、折子购物、爱奇艺之类乱七八糟的东东,卸载后下次开机又出来。
电脑中安装的电脑管家在开机时会提示svchost.exe试图自动修改IE主页,已拦截。
随后系统不断弹出错误提示框:
Unable to write to C:\Users\Public\Desktop\InterNet Explorer.url
直到Stack orerflow,系统弹出新的错误提示框:
Windows服务主进程已停止工作。出现了一个问题,出现一个问题,导致程序停止正常工作,请关闭该程序。
用电脑管家体检修复,仍然没有解决问题。
用pe_xscan扫描,发现有如下可疑启动项:
pe_xscan 11-03-17 by Purple Endurer
2015-3-23 20:45:0
Windows Windows 7 Service Pack 1(6.1.7601)
MSIE:9.11.9600.17691
管理员用户组
正常模式
O4 - HKLM\..\run: [zpmc] rundll32 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL Start
O23 - 服务: usbadmi (usbadmi) - C:\Windows\System32\Drivers\usbadmi.sys |$X(系统)
用WinRAR检查C:\Windows\Web\Wallpaper文件夹,没有发现B0C2FE~1.DLL,只有一个名为b0c2fe7b4751a9b83f249894bc8ad051.jpg的文件。
文件说明符 : C:\Windows\Web\Wallpaper\b0c2fe7b4751a9b83f249894bc8ad051.jpg
属性 : A---
数字签名 : 否
PE文件 : 否
创建时间 : 2015-3-26 21:26:8
修改时间 : 2015-3-26 21:26:8
大小 : 1840221 字节 1.773 MB
MD5 : 65b2e6af96852d3b28331a3e438a0496
SHA1: 4BDDA68F499911E6B30B6265860FC5B32F74F42C
CRC32: 57834f92
居然有近1.8 MB,用IrfanView打开:
像素才是205×629×24 BPI,明显不匹配。
在C:\Windows\Web\Wallpaper下创建一个名为B0C2FE~1.DLL的文件夹,设置只读、系统、隐藏属性。
结果随后在关机和开机时会弹出错误提示框:
启动 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL 时出现问题,拒绝访问。
文件说明符 : c:\windows\system32\drivers\usbadmi.sys
属性 : A---
数字签名:Beijing fun Ecommerce Co., Ltd
PE文件 : 是
获取文件版本信息大小失败!
创建时间 : 2015-3-22 10:29:40
修改时间 : 2015-3-22 10:33:23
大小 : 330544 字节 322.816 KB
MD5 : e9196f934afa3a911233aadf6093f1da
SHA1: B8C0318A4847B3DBB6B39961E02244024BBA81BD
CRC32: 9dade4c8
上传多杀毒引擎扫描结果http://r.virscan.org/report/0c4d5ed3f4cd9464612dc5cdbb2a92dd
扫描结果:5%的杀软(2/39)报告发现病毒 |
时间: 2015-03-27 00:33:15 (CST) |
软件名称 | 引擎版本 | 病毒库版本 | 病毒库时间 | 扫描结果 | 扫描耗时 |
ANTIVIR | 1.9.2.0 | 1.9.159.0 | 7.11.219.114 | 没有发现病毒 | 16 |
AVAST! | 150226-0 | 4.7.4 | 2015-02-26 | 没有发现病毒 | 31 |
AVG | 2109/8526 | 10.0.1405 | 2015-01-30 | 没有发现病毒 | 6 |
ArcaVir | 1.0 | 2011 | 2014-05-30 | 没有发现病毒 | 8 |
Authentium | 4.6.5 | 5.3.14 | 2013-12-01 | 没有发现病毒 | 1 |
Baidu Antivirus | 2.0.1.0 | 4.1.3.52192 | 2.0.1.0 | 没有发现病毒 | 4 |
Bitdefender | 7.58879 | 7.90123 | 2015-01-16 | 没有发现病毒 | 1 |
ClamAV | 20239 | 0.97.5 | 2015-03-26 | 没有发现病毒 | 1 |
Comodo | 15023 | 5.1 | 2015-03-25 | 没有发现病毒 | 3 |
Dr.Web | 5.0.2.3300 | 5.0.1.1 | 2015-01-23 | 没有发现病毒 | 31 |
F-PROT | 4.6.2.117 | 6.5.1.5418 | 2015-03-24 | 没有发现病毒 | 1 |
F-Secure | 2014-04-02-01 | 9.13 | 2014-04-02 | 没有发现病毒 | 5 |
Fortinet | 25.125, 25.125 | 5.1.158 | 2015-03-25 | 没有发现病毒 | 1 |
GData | 25.820 | 25.820 | 2015-03-25 | 没有发现病毒 | 8 |
IKARUS | 1.06.01 | V1.32.31.0 | 2015-01-30 | 没有发现病毒 | 14 |
NOD32 | 0801 | 3.0.21 | 2014-11-29 | 没有发现病毒 | 1 |
QQ手机 | 1.0.0.0 | 1.0.0.0 | 2015-03-25 | 没有发现病毒 | 1 |
Quickheal | 14.00 | 14.00 | 2015-03-25 | 没有发现病毒 | 2 |
SOPHOS | 5.08 | 3.55.0 | 2014-12-01 | 没有发现病毒 | 7 |
Sunbelt | 3.9.2623.2 | 3.9.2623.2 | 2015-03-25 | 没有发现病毒 | 1 |
TheHacker | 6.8.0.5 | 6.8.0.5 | 2015-03-24 | 没有发现病毒 | 1 |
Vba32 | 3.12.26.3 | 3.12.26.3 | 2015-03-24 | 没有发现病毒 | 3 |
ViRobot | 2.73 | 2.73 | 2015-01-30 | 没有发现病毒 | 1 |
VirusBuster | 15.0.985.0 | 5.5.2.13 | 2014-12-05 | 没有发现病毒 | 15 |
a-squared | 9.0.0.4453 | 9.0.0.4453 | 2014-07-03 | 没有发现病毒 | 1 |
nProtect | 9.9.9 | 9.9.9 | 2013-12-27 | 没有发现病毒 | 3 |
卡巴斯基 | 5.5.33 | 5.5.33 | 2014-04-01 | 没有发现病毒 | 19 |
奇虎360 | 1.0.1 | 1.0.1 | 1.0.1 | 13 | |
安博士V3 | 9.9.9 | 9.9.9 | 2013-05-28 | 没有发现病毒 | 4 |
安天 | AVL SDK 3.0 | 2014112615531100 | 2014-11-26 | 没有发现病毒 | 1 |
江民杀毒 | 16.0.100 | 1.0.0.0 | 2015-03-24 | 没有发现病毒 | 36 |
熊猫卫士 | 9.05.01 | 9.05.01 | 2015-03-25 | 没有发现病毒 | 3 |
瑞星 | 25.59.01.04 | 25.59.01.04 | 2015-03-24 | 没有发现病毒 | 1 |
百度杀毒 | 1.0 | 1.0 | 2014-04-02 | 没有发现病毒 | 1 |
费尔 | 17.47.17308 | 1.0.2.2108 | 2015-03-25 | 没有发现病毒 | 6 |
赛门铁克 | 20150323.001 | 1.3.0.24 | 2015-03-23 | 没有发现病毒 | 1 |
趋势科技 | 11.558.05 | 9.500-1005 | 2015-03-24 | 没有发现病毒 | 1 |
迈克菲 | 7638 | 5400.1158 | 2014-11-30 | 没有发现病毒 | 7 |
金山毒霸 | 2.1 | 2.1 | 2013-09-22 | 4 |
■Heuristic/Suspicious
■Exact
注意: 就算报告发现病毒,也可能是杀软误报,请根据查毒结果自行判断
标签:usbadmi,发现,01,03,没有,sys,25,Adware,病毒 From: https://blog.51cto.com/endurer/5874326