endurer 原创
2006-12-08 第1版
昨天继续帮那位遭遇www.6781.com劫持浏览器和Worm.Snake.a等的网友处理。
见:遭遇www.6781.com劫持浏览器和Worm.Snake.a等
http://endurer.bokee.com/5914250.html
那位网友已经安装了瑞星杀毒软件2006下载版,上回列出的几个文件都找不到了。
但IE主页还会被改为www.6781.com。
再用HijackThis生成启动项列表,发现可疑服务
/-----------
msqmx: /??/G:/WINDOWS/system32/drivers/msqmx.sys (autostart)
-----------/
/-----------
文件名 : msqmx.sys
语言 : 英语(美国)
文件版本 : 5.1.2600.80
说明 : Parallel Audio Driver
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.80
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : paraudio.sys
源文件名 : paraudio.sys
修改时间 : 2004-8-4 0:52:20
大小 : 8352 字节 8.160 KB
MD5 : 98a20388df2b60debdf27a1251725f05
-----------/
就是原来的paraudio.sys。
删除后重启电脑,这回IE主页不被恶意修改了。
STATUS: FINISHED
Complete scanning result of "msqmx.sys", received in VirusTotal at 12.07.2006, 06:53:25 (CET).
Antivirus | Version | Update | Result |
AntiVir | 7.2.0.49 | 12.07.2006 | RKIT/Startpage.B.2 |
Authentium | 4.93.8 | 12.07.2006 | no virus found |
Avast | 4.7.892.0 | 12.06.2006 | no virus found |
AVG | 386 | 12.07.2006 | Startpage.AQA |
BitDefender | 7.2 | 12.07.2006 | no virus found |
CAT-QuickHeal | 8.00 | 12.06.2006 | no virus found |
ClamAV | devel-20060426 | 12.07.2006 | no virus found |
DrWeb | 4.33 | 12.06.2006 | Trojan.StartPage.1675 |
eSafe | 7.0.14.0 | 12.06.2006 | Win32.StartPage.amd |
eTrust-InoculateIT | 23.73.79 | 12.07.2006 | no virus found |
eTrust-Vet | 30.3.3236 | 12.07.2006 | Win32/Startpage.VD |
Ewido | 4.0 | 12.06.2006 | Hijacker.StartPage.amd |
Fortinet | 2.82.0.0 | 12.07.2006 | W32/StartPage.AMD!tr |
F-Prot | 3.16f | 12.05.2006 | no virus found |
F-Prot4 | 4.2.1.29 | 12.05.2006 | no virus found |
Ikarus | T3.1.0.26 | 12.07.2006 | Trojan.Win32.StartPage.amd |
Kaspersky | 4.0.2.24 | 12.07.2006 | Trojan.Win32.StartPage.amd |
McAfee | 4912 | 12.07.2006 | New Malware.z |
Microsoft | 1.1804 | 12.07.2006 | no virus found |
NOD32v2 | 1904 | 12.06.2006 | no virus found |
Norman | 5.80.02 | 12.06.2006 | no virus found |
Panda | 9.0.0.4 | 12.07.2006 | no virus found |
Prevx1 | V2 | 12.07.2006 | no virus found |
Sophos | 4.12.0 | 12.06.2006 | no virus found |
Sunbelt | 2.2.907.0 | 11.30.2006 | Trojan.Win32.StartPage.amd |
TheHacker | 6.0.3.130 | 12.06.2006 | Trojan/StartPage.amd |
UNA | 1.83 | 12.06.2006 | Trojan.Win32.StartPage.C508 |
VBA32 | 3.11.1 | 12.06.2006 | Trojan.Win32.StartPage.amd |
VirusBuster | 4.3.15:9 | 12.06.2006 | no virus found |
Aditional Information
File size: 8352 bytes
MD5: 98a20388df2b60debdf27a1251725f05
SHA1: cc0117a5f0af2b20c2a4e49680953137d350d52d
标签:07.2006,www.6781,no,Worm,virus,06.2006,2006,Snake,StartPage From: https://blog.51cto.com/endurer/5902477