25jurdcyw4.sys,promote.dll/Adware.Win32.Agent.nrc,mnbgezuvepffc.dll/AdWare.Win32.EJok.x等
endurer 原创
2008-01-06 第1版
有位网友发email来说他的电脑最近开机时出现出错提示框,说C:/WINDOWS/system32/****.dll 无法加载,****这个是数字的,记不清了。经朋友介绍,在偶的blog上发现了类似问题的解决方法的文章
绕过IceSword文件检测的Trojan.Win32.Mnless.zpc/ojj6erv.sys
用pe_xscan扫描 log分析,发现如下可疑项:
/===
pe_xscan 07-12-26 by Purple Endurer
2008-1-6 18:17:54
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O2 - BHO Promote Class - {0FA24E3E-422C-4D94-A125-104F32352C90} - C:/WINDOWS/system32/promote.dll
O2 - BHO - {242F800B-2172-4659-A381-476B66E3DE2A} - C:/WINDOWS/system32/mnbgezuvepffc.dll
O23 - 服务: 25jurdcyw4 (25jurdcyw4) - System32/DRIVERS/25jurdcyw4.sys(引导)
O23 - 服务: BB-RUN () - System32/DRIVERS/bb-run.sys(引导)
O23 - 服务: def2be (def2be) - C:/WINDOWS/system32/drivers/def2be.sys(自动)
O23 - 服务: DONTGO () - System32/DRIVERS/DontGo.sys(引导)
===/
用winRAR检查,只找到前三个文件,其余的估计是被网友电脑中的卡巴杀掉了:
C:/WINDOWS/system32/promote.dll
C:/WINDOWS/system32/mnbgezuvepffc.dll
C:/WINDOWS/System32/DRIVERS/25jurdcyw4.sys
用WinRAR打包备份,结果25jurdcyw4.sys不能打包,到 http://endurer.ys168.com 下载 IceSword,复制了一个打包,再强制删除25jurdcyw4.sys。
到 http://endurer.ys168.com 下载 HijackThis 修复 O2 项。
到 http://tool.ikaka.com 下载 瑞星卡卡安全助手,在[高级功能]—>[系统启用项管理]里,在左边点击[驱动],在右边找到 O23项对应的项目,右击,从弹出的菜单里选择删除。
重启电脑,不再出现那个提示框了……
这个 25jurdcyw4.sys 没有隐藏自身的文件,处理起来婪比 ojj6erv.sys 容易……
文件说明符 : C:/WINDOWS/system32/promote.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : PromoteDemo Module
版权 : Copyright 2006
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : PromoteDemo Module
公司名称 :
合法商标 :
内部名称 : PromoteDemo
源文件名 : PromoteDemo.DLL
创建时间 : 2007-12-11 14:29:51
修改时间 : 2007-12-11 14:29:51
访问时间 : 2007-12-11 14:29:51
大小 : 28672 字节 28.0 KB
MD5 : 9b49898abca8a77ad349b8ebd6823f55
SHA1: DA6E5B96AEF77371B391A334A2E06B76658CFB02
CRC32: fbdc8747
瑞星报为 Adware.Win32.Agent.nrc
文件说明符 : C:/WINDOWS/system32/mnbgezuvepffc.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-12-11 14:27:26
修改时间 : 2007-12-11 14:27:26
访问时间 : 2007-12-11 14:27:26
大小 : 1108480 字节 1.58 MB
MD5 : 7a7f6cced6f1bcc16cffbc725b0a922d
SHA1: A5F89E6788405F69907D314B89FCD2BCBC4F27CF
CRC32: 4550f29c
瑞星报为 AdWare.Win32.EJok.x
文件说明符 : D:/test/25jurdcyw4.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-6 22:24:58
修改时间 : 2008-1-6 18:39:30
访问时间 : 2008-1-6 0:0:0
大小 : 22560 字节 22.32 KB
MD5 : 5a3678283126d82a41a315fe0be884fe
SHA1: 01B1B85E58DE4E04D17E07968BEEA989EF87E35E
CRC32: 58934d0b