遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等

原创 2007年09月17日 13:28:00

遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等

endurer 原创
2007-09-17 第1

昨晚一位网友说近段时间他电脑中的 NOD32总报告:

/---
时间 模块 对象 名称 病毒 操作 用户名称 信息
2007-9-16 21:30:22 AMON 文件 C:/WINDOWS/system32/drivers/qfgsw.sys Win32/TrojanDownloader.Agent.BBB trojan 已删除 (在下一次重新开启后) NT AUTHORITY/SYSTEM 尝试访问文件时发生事件: C:/WINDOWS/System32/svchost.exe.
---/

重启也不行,让偶通过QQ远程协助。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:

/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-16 21:31:36
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO ff Class - {FAAAC0F6-94BE-4466-934B-7C53666A2F41} - C:/WINDOWS/system32/ba71.dll

O23 - 服务: 3A452D83 (3A452D83) - C:/WINDOWS/system32/24E9F3BC.EXE -k(禁用)

O23 - 服务: AEA6EAEC (AEA6EAEC) - C:/WINDOWS/system32/2DD519ED.EXE -p(禁用)

O23 - 服务: B302EC43 (B302EC43) - C:/WINDOWS/system32/75D23BE4.EXE -d(禁用)

O23 - 服务: FB000E3A (FB000E3A) - C:/WINDOWS/system32/F77B20D5.EXE -k(禁用)

O23 - 服务: Investor (Event Service) - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/eatxt.dll(自动)

O23 - 服务: kusn33sd (kusn33sd) - C:/WINDOWS/system32/kusn33sd.exe -j(禁用)

O23 - 服务: Messager (Messager) - c:/temp/svchost.exe(禁用)

O23 - 服务: qfgsw (qfgsw) - System32/DRIVERS/qfgsw.sys(引导)

O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:/WINDOWS/System32/drivers/ws2ifsl.sys | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(系统)
===/

http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。用 FileInfo 提取文件信息,用 bat_do 打包备份。

文件说明符 : C:/WINDOWS/system32/ba71.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.1
说明 : TODO: <文件说明>
版权 : TODO: (C) <公司名>。保留所有权利。
备注 :
产品版本 : 1.0.0.1
产品名称 : TODO: <产品名>
公司名称 : TODO: <公司名>
合法商标 :
内部名称 : dbho.dll
源文件名 : dbho.dll
创建时间 : 2007-9-14 13:46:11
修改时间 : 2007-9-14 22:35:17
访问时间 : 2007-9-16 23:26:34
大小 : 126976 字节 124.0 KB
MD5 : aca6a3c9d5a4245d2717682fa63d203f
HSA1: DCD87E2F87372D224F45669B03A06B1A6A25C7C9


Kapsersky 报为 not-a-virus:AdWare.Win32.Dm.y,瑞星报为 Adware.Win32.Dm.y

qfgsw.sys 这个文件提示文件无法打开。

http://endurer.ys168.com 下载 IceSword,复制一个到 d:/ 下,还是不能提取,也不能打包备份 或 通过QQ传送。处理完成后,即使关闭了 Nod32 的实时监控,还是不能传送,最后是让网友以带网络连接的安全模式下启动,才传回来。


文件说明符 : C:/WINDOWS/system32/DRIVERS/qfgsw.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-16 23:31:9
修改时间 : 2007-9-16 23:31:12
访问时间 : 2007-9-16 23:35:30
大小 : 10240 字节 10.0 KB
MD5 : c3138e0cd862f4a2e82b8b24db346094
HSA1: 47B567B995B217E14C1082CAE7DB84024162AAD6
Kapsersky 报为 Trojan-Downloader.Win32.Agent.bbb,瑞星报为 Trojan.Win32.Agent.bvl

Scanned file:   qfgsw.sys - Infected

qfgsw.sys - infected by Trojan-Downloader.Win32.Agent.bbb

其它文件均不存在。

用 IceSword 找到 这两个文件右击,从弹出的菜单中选择强制删除。

下载安装瑞星卡卡安全助手,删除这两个东东的启动项。

用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。 

Trojan/Win32.TDSS.eyj[Rootkit]分析

病毒标签: 病毒名称: Trojan/Win32.TDSS.eyj[Rootkit] 病毒类型: 后门 文件 MD5: 45433E3C1489F1F64798BC82BFA21864 公开范...
  • zacklin
  • zacklin
  • 2012年07月24日 11:27
  • 740

Trojan:Win32/EyeStye.N

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWin32%2FEyeSty...

Trojan.Win32.Scar.cjdy分析

前记:         这是很早之前分析的一个windows上的病毒程序,程序很有代表性,我当时分析的也很细致。最近在整理文档时发现了它,感觉还是有分享的价值的。 一、病毒标签: 病毒名称:Tro...

win32k.sys文件简介

说到win32k.sys,要先说一下win32子系统。win32k.sys是win32子系统的一部分。     子系统指操作系统的一部分,为操作系统的上层应用程序提供运行环境和接口(API)。w...
  • cqyczj
  • cqyczj
  • 2014年05月31日 10:20
  • 1249

CVE-2016-0095浅析-Win32k.sys特权提升漏洞

本文转载自SSCTF pwn450 Windows Kernel Exploitation Writeup 本文首先简单分析一下POC,随后分析这个漏洞的形成原因,最后我们来看一下这个漏洞的利用点并...

为什么win32k.sys在System进程空间无法访问

玩过Shadow SSDT Hook的都知道,在System进程中是无法访问win32k.sys的内存空间的,要想访问必须切换到csrss进程或者任意一个GUI进程。 问题一:为什么System进程...

MS10-073微软Windows内核Win32k.sys键盘布局本地提权漏洞 fix poc

第一次载入poc crash在这 eax=00000000 ebx=00000000 ecx=0000006b edx=e16edaac esi=00000244 edi=00000000 eip=8...

<Win32_20>纯c语言版的打飞机游戏出炉了^_^

经过昨天的苦战,终于完成了纯C版的打飞机游戏——使用微信打飞机游戏的素材,不过玩法有些不同,下面会有详述   一、概述游戏的玩法、实现效果 1. 游戏第一步,简单判断一下,给你一个准备的时间:  ...

win32以动态链接库导出类及其成员变量

本文转自:http://hi.baidu.com/ah_leo/blog/item/eccf12f49a0ebce07709d744.html   通常我们在vc程序时候,希望把自己的代码隐藏起来...
  • kenkao
  • kenkao
  • 2012年08月16日 11:48
  • 4783

跟我一起玩Win32开发(7):多边形窗口

通常情况下,窗口都是一个矩形,不过,调用下面这个函数,可以自定义窗口的形状。 int SetWindowRgn( __in HWND hWnd, __in HRGN hRgn...
  • tcjiaan
  • tcjiaan
  • 2013年01月20日 16:05
  • 13687
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等
举报原因:
原因补充:

(最多只允许输入30个字)