25jurdcyw4.sys,promote.dll/Adware.Win32.Agent.nrc,AdWare.Win32.EJok.x等

25jurdcyw4.sys,promote.dll/Adware.Win32.Agent.nrc,mnbgezuvepffc.dll/AdWare.Win32.EJok.x等

endurer 原创

2008-01-06 第1版

　　有位网友发email来说他的电脑最近开机时出现出错提示框，说C:/WINDOWS/system32/****.dll 无法加载，****这个是数字的，记不清了。经朋友介绍，在偶的blog上发现了类似问题的解决方法的文章

绕过IceSword文件检测的Trojan.Win32.Mnless.zpc/ojj6erv.sys

　　用pe_xscan扫描 log分析，发现如下可疑项：
/===
pe_xscan 07-12-26 by Purple Endurer
2008-1-6 18:17:54
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO Promote Class - {0FA24E3E-422C-4D94-A125-104F32352C90} - C:/WINDOWS/system32/promote.dll

O2 - BHO  - {242F800B-2172-4659-A381-476B66E3DE2A} - C:/WINDOWS/system32/mnbgezuvepffc.dll

O23 - 服务: 25jurdcyw4 (25jurdcyw4) - System32/DRIVERS/25jurdcyw4.sys(引导)

O23 - 服务: BB-RUN () - System32/DRIVERS/bb-run.sys(引导)

O23 - 服务: def2be (def2be) - C:/WINDOWS/system32/drivers/def2be.sys(自动)

O23 - 服务: DONTGO () - System32/DRIVERS/DontGo.sys(引导)
===/

　　用winRAR检查，只找到前三个文件，其余的估计是被网友电脑中的卡巴杀掉了：

C:/WINDOWS/system32/promote.dll
C:/WINDOWS/system32/mnbgezuvepffc.dll
C:/WINDOWS/System32/DRIVERS/25jurdcyw4.sys

　　用WinRAR打包备份，结果25jurdcyw4.sys不能打包，到 ​​http://endurer.ys168.com​​ 下载 IceSword，复制了一个打包，再强制删除25jurdcyw4.sys。

　　到 ​​http://endurer.ys168.com​​ 下载 HijackThis 修复 O2 项。

　　到 ​​http://tool.ikaka.com​​ 下载  瑞星卡卡安全助手，在[高级功能]—＞[系统启用项管理]里,在左边点击[驱动]，在右边找到 O23项对应的项目，右击，从弹出的菜单里选择删除。

　　重启电脑，不再出现那个提示框了……

　　这个 25jurdcyw4.sys 没有隐藏自身的文件，处理起来婪比 ojj6erv.sys 容易……

文件说明符 : C:/WINDOWS/system32/promote.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : PromoteDemo Module
版权 : Copyright 2006
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : PromoteDemo Module
公司名称 :
合法商标 :
内部名称 : PromoteDemo
源文件名 : PromoteDemo.DLL
创建时间 : 2007-12-11 14:29:51
修改时间 : 2007-12-11 14:29:51
访问时间 : 2007-12-11 14:29:51
大小 : 28672 字节 28.0 KB
MD5 : 9b49898abca8a77ad349b8ebd6823f55
SHA1: DA6E5B96AEF77371B391A334A2E06B76658CFB02
CRC32: fbdc8747

瑞星报为 Adware.Win32.Agent.nrc

文件说明符 : C:/WINDOWS/system32/mnbgezuvepffc.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-12-11 14:27:26
修改时间 : 2007-12-11 14:27:26
访问时间 : 2007-12-11 14:27:26
大小 : 1108480 字节 1.58 MB
MD5 : 7a7f6cced6f1bcc16cffbc725b0a922d
SHA1: A5F89E6788405F69907D314B89FCD2BCBC4F27CF
CRC32: 4550f29c

瑞星报为 AdWare.Win32.EJok.x

文件说明符 : D:/test/25jurdcyw4.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-6 22:24:58
修改时间 : 2008-1-6 18:39:30
访问时间 : 2008-1-6 0:0:0
大小 : 22560 字节 22.32 KB
MD5 : 5a3678283126d82a41a315fe0be884fe
SHA1: 01B1B85E58DE4E04D17E07968BEEA989EF87E35E
CRC32: 58934d0b