遭遇 Trojan.Win32.KillFiles.m, Packer.Mian007等
endurer 原创
2007-09-18 第1版
刚才一位网友说他的电脑最近启动很慢,让偶通过QQ远程协助检查。
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-18 12:53:3
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/system32/EXPLORER.EXE * 1428 | 2006-10-25 8:32:36 | Microsoft(R) Windows(R) Operating System | 6.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.2900.2180 | Microsoft Corporation| ? | EXPLORER | EXPLORER.EXE
C:/WINDOWS/svchost.exe * 1768 | 2007-5-29 15:42:16 | | 1.00| ?| ? | 1.00| ?| ? | 1 | 1.exe
C:/Program Files/Yayad/AdPop.Exe * 2440 | 2007-1-11 1:54:32 | Ad. Pop | 1.0.0.1 | Ad. Popup | (c) CDM. All rights reserved. | 1.0.0.1 | CDM| ? | AdPop.exe | AdPop.exe
C:/Program Files/Yayad/autoupdate.dll | 2007-1-11 1:53:46 | autoupdate | 1.0.0.1 | autoupdate | (c) <Yayad>. All rights reserved. | 1.0.0.1 | CDM| ? | autoupdate.dll | autoupdate.dll
C:/Program Files/Internet Explorer/IEXPLORE.EXE * 1484 | 2004-8-17 20:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/Program Files/Yayad/AdCore.dll | 2007-1-11 1:54:52 | Ad Core | 1.0.0.1 | Ad Core | (c) CDM. All rights reserved. | 1.0.0.1 | CDM| ? | AdCore.dll | AdCore.dll
F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKCU/../Run: [wsctf.exe] wsctf.exe
O4 - HKCU/../Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - Global Startup: Windows.hta -> Invalid lnk file
I:/autorun.inf
/-----
[autorun]
OPEN=Autorun.exe
ICON=PR2.exe
-----/
O23 - 服务: c12063328 (c12063328) - System32/drivers/c12063328.sys(引导)
O23 - 服务: Internet Explorer (Internet Explorer Service) - C:/WINDOWS/svchost.exe | 2007-5-29 15:42:16 | | 1.00| ?| ? | 1.00| ?| ? | 1 | 1.exe(自动)
O23 - 服务: Mysee2_Runtime () - C:/WINDOWS/System32/svchost.exe -k mysee2 -> C:/WINDOWS/system32/gy/runtime.dll | 2006-7-5 14:59:14 | runtime 应用程序 | 1, 0, 0, 3 | <Mysee Live!> Runtime | (C) 北京高维视讯科技有限公司。保留所有权利。 | 1, 0, 0, 3 | 北京高维视讯科技有限公司| ? | <Mysee Live!> Runtime | runtime.exe(手动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: pohci13F (pohci13F) - C:/DOCUME~1/www/LOCALS~1/Temp/pohci13F.sys(手动)
O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:/WINDOWS/System32/drivers/ws2ifsl.sys | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(禁用)
===/
到 http://endurer.ys168.com 下载 ProcView 和 HijackThis。
用ProcView终止进程:
C:/WINDOWS/system32/EXPLORER.EXE
C:/WINDOWS/svchost.exe
用 HijackThis 修复 F2 和 O4。
到控制面板的添加删除程序里 卸载 Yayad
打开注册表编辑器删除 O23 的项目。
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份,再删除。
文件说明符 : C:/WINDOWS/svchost.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 :
公司名称 :
合法商标 :
内部名称 : 1
源文件名 : 1.exe
创建时间 : 2007-5-29 15:42:15
修改时间 : 2007-5-29 15:42:16
访问时间 : 2007-9-18 0:0:0
大小 : 16384 字节 16.0 KB
MD5 : d339fe10cf5ccd99bc95a4e702579301
HSA1: 8AEF0ADDE759AF973ED10D798CC067C8BA2E4373
瑞星报为 Trojan.Win32.KillFiles.m
Scanned file: svchost.exe - Infected |
svchost.exe - infected by Trojan.Win32.KillFiles.m |
文件说明符 : C:/WINDOWS/system32/EXPLORER.EXE
属性 : -SHR
语言 : 中文(中国)
文件版本 : 6.2900.2180
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.2900.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : EXPLORER
源文件名 : EXPLORER.EXE
创建时间 : 2007-8-21 20:52:35
修改时间 : 2006-10-25 8:32:36
访问时间 : 2007-9-18 0:0:0
大小 : 84701 字节 82.733 KB
MD5 : 1a58d82fe73fb4e9de10facb0ef22881
HSA1: 71B949ACEBB15DA95057B3F9FBC1BE4CAC461B69
瑞星报为 Packer.Mian007
Scanned file: EXPLORER.EXE - Infected |
EXPLORER.EXE - infected by Virus.Win32.VB.bu |
文件说明符 : C:/WINDOWS/system32/gy/runtime.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 0, 3
说明 : <Mysee Live!> Runtime
版权 : (C) 北京高维视讯科技有限公司。保留所有权利。
备注 :
产品版本 : 1, 0, 0, 3
产品名称 : runtime 应用程序
公司名称 : 北京高维视讯科技有限公司
合法商标 :
内部名称 : <Mysee Live!> Runtime
源文件名 : runtime.exe
创建时间 : 2006-8-1 13:2:42
修改时间 : 2006-7-5 14:59:14
访问时间 : 2007-9-18 0:0:0
大小 : 569344 字节 556.0 KB
MD5 : d99151f4e4fecac91862edaad4e3c055
HSA1: 45A1B6EE195F537B58E8791E593F93EE21DF2389
文件说明符 : I:/PR2.exe
属性 : ---R
语言 : 德语(德国)
文件版本 : 1.1.1.8
说明 : Port Royale 2
版权 : Copyright (C) 2002-2004
备注 :
产品版本 : 1.1.1.8
产品名称 :
公司名称 : Ascaron Entertainment GmbH
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2004-12-10 23:30:16
修改时间 : 2004-12-10 23:30:16
访问时间 : 1601-1-1 8:0:0
大小 : 7847936 字节 7.496 MB
MD5 : 3f5e3ac92cd73f92024a4eedc0ddc512
HSA1: E1F514FA33F82E40A83D7BAE964B1BF2E9DD1539
文件说明符 : I:/Autorun.exe
属性 : ---R
语言 : 德语(德国)
文件版本 : 1, 0, 0, 0
说明 : AutoRun
版权 : Copyright (C) 2002
备注 : Scripted Autorun
产品版本 : 1, 0, 0, 0
产品名称 : Scriptable AutoRun
公司名称 : Ascaron Entertainment GmbH
合法商标 :
内部名称 : AutoRun
源文件名 : AutoRun.exe
创建时间 : 2004-4-4 9:53:44
修改时间 : 2004-4-4 9:53:44
访问时间 : 1601-1-1 8:0:0
大小 : 270336 字节 264.0 KB
MD5 : 494e74d927921d8da85b3a5e7ae93652
HSA1: D962A1D0EF216B9C56F21B87E1565AE31E3ACD6C
C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Windows.hta
包含 javascript 脚本,功能是运行 IE,把窗口移动到屏幕显示范围之外,打开hxxp://www.i***f5*6.cn/l*o*/downmm.html,然后运行下载到 IE 缓存中的 abc[1].exe。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。
标签:Trojan,exe,Mian007,Packer,WINDOWS,Windows,2007,Microsoft,EXPLORER From: https://blog.51cto.com/endurer/5921101