遭遇 NinSys74.Sys,B674A2D4.EXE,42AE09E4.DLL,msavp.dll,avpdj,avpwl.dll等

原创 2007年10月12日 14:15:00

遭遇 NinSys74.Sys,B674A2D4.EXE,42AE09E4.DLL,msavp.dll,avpdj.dll,avpwl.dll等

endurer 原创
2007-10-12 第1

昨天中午又帮两位网友清理电脑病毒。

先回忆一下其中一位的。

网友的电脑上装有瑞星2007杀毒软件,不过是已经过期的下载版。

下载 pe_xscan 的 log 中发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-10-11 13:45:14
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38

C:/WINDOWS/system32/csrss.exe * 656 | 2006-11-8 18:57:2 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Client Server Runtime Process | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CSRSS.Exe | CSRSS.Exe
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/system32/winlogon.exe * 680 | 2006-11-8 18:57:2 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/system32/services.exe * 724 | 2006-11-8 18:57:2 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Services and Controller app | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | services.exe | services.exe
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/system32/lsass.exe * 736 | 2006-11-8 18:57:2 | Microsoft? Windows? Operating System | 5.1.2600.2180 | LSA Shell (Export Version) | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | lsass.exe | lsass.exe
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/system32/svchost.exe * 936 | 2006-11-8 18:57:2 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/system32/msavp.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/Explorer.EXE * 1648 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38
    C:/WINDOWS/system32/msavp.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/PROGRAM FILES/RISING/RAV/RavStub.exe * 2012 | 2007-10-4 19:39:36 | RavStub Application | 19, 0, 0, 4 | Rising RavStub | Copyright (c) 1998-2005 Rising Corp. | 19, 0, 0, 4 | Beijing Rising Technology Co., Ltd. |  | RavStub | RavStub.exe
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/system32/RUNDLL32.EXE * 340 | 2006-11-8 18:57:2 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | rundll | RUNDLL.EXE
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/WINDOWS/system32/ctfmon.exe * 1904 | 2006-11-8 18:57:2 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38
    C:/WINDOWS/system32/42AE09E4.DLL | 2007-10-10 22:11:46 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?

C:/Program Files/Tencent/QQ/TIMPlatform.exe * 3232 | 2007-7-19 16:34:46 | QQ | 7,0,208,1651 | TIMPlatform | Copyright ? 2005 ━ 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT |  | TIMPlatform | TIMPlatform.exe
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38

C:/Program Files/Tencent/QQ/QQ.exe * 3512 | 2007-7-19 16:27:2 | QQ | 7,0,365,1701 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT |  | COMQQD | QQ.exe
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38
    C:/WINDOWS/system32/msavp.dll | 2007-9-30 20:47:8

C:/Program Files/Internet Explorer/IEXPLORE.EXE * 3948 | 2006-11-8 18:57:2 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/WINDOWS/system32/avpdj.dll | 2007-9-30 20:47:10
    C:/WINDOWS/system32/avpwl.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpwm.dll | 2007-9-30 20:47:0
    C:/WINDOWS/system32/avpms.dll | 2007-9-30 20:47:8
    C:/WINDOWS/system32/avpdh.dll | 2007-9-30 20:47:8
    C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys | 2007-10-10 22:10:38
    C:/WINDOWS/system32/msavp.dll | 2007-9-30 20:47:8

O2 - BHO  - {00000AA9-A363-466E-BEF5-9BB68697AA7F} -

O4 - HKCU/../Run: [bgswitch] C:/WINDOWS/system32/bgswitch.exe
O4 - HKLM/../Run: [DiskMan32] C:/WINDOWS/DiskMan32.exe
O4 - HKLM/../Run: [AVPSrv] C:/WINDOWS/AVPSrv.exe
O4 - HKLM/../Run: [KVP] C:/WINDOWS/system32/drivers/svchost.exe

O23 - 服务: 29055CF4 (29055CF4) - C:/WINDOWS/system32/B674A2D4.EXE -d | 2007-10-7 12:11:18 | Microsoft(R) Windows(R) Operating System| ?| ? | (C) Microsoft Corporation. All rights reserved.| ? | Microsoft Corporation| ?| ?| ?(自动)

O24 - ShlExecHook: [] - {A263206E-55FF-4BF9-A503-880D801F3226} = C:/Program Files/Internet Explorer/PLUGINS/WinSys74.Sys

O24 - ShlExecHook: [] - {AAF3B135-E338-491A-B3CB-9D75DA02C5D1} = C:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys
===/

另外还有一个服务:

O23 - 服务: ptac (Windows ptac RunThem) - C:/WINDOWS/System32/svchost.exe -k netsvcs | 2006-11-8 18:57:2 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe(自动)

Google了一下,没有发现相关的信息。

处理方法都是差不多的,重启到带网络连接的安全模式,到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo,用来提取可疑文件信息并打包,延时删除。
下载 DrWeb CureIt! 扫描,用卡卡安全助手清理残留启动项。

重启电脑后,用卡卡安全助手检查没有发现残留启动项,下载瑞星2008,卸载瑞星2007,重启电脑再装瑞星2008,重启电脑,把瑞星2008升级到最新版本再扫描,又发现一些病毒,主要是在系统还原文件夹中。

原来忙得忘记禁用系统还原功能,清理C盘了~


附部分文件信息:

文件说明符 : C:/WINDOWS/system32/42AE09E4.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-9-30 21:0:57
修改时间 : 2007-10-10 22:11:46
访问时间 : 2007-10-11 0:0:0
大小 : 36864 字节 36.0 KB
MD5 : c216dd38c3734f71e1630db8f6fc3f18
HSA1: 9132DFB817623CC51A6A77F86C569DB9993D7CB8

文件说明符 : C:/WINDOWS/system32/B674A2D4.EXE
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-9-30 20:47:15
修改时间 : 2007-10-7 12:11:18
访问时间 : 2007-10-11 0:0:0
大小 : 16944 字节 16.560 KB
MD5 : 1e2a3451e003fde987841bc38448f15c
HSA1: B72A28A2B94EABDEE58C024649709AB4F73B0D99

文件说明符 : c:/Program Files/Internet Explorer/PLUGINS/SysWin75.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-30 20:47:0
修改时间 : 2007-9-30 20:47:2
访问时间 : 2007-10-11 0:0:0
大小 : 32360 字节 31.616 KB
MD5 : 509c0946db538572e2bc5588328adac2
HSA1: C6E2062C353A78D01A743B413762D2A60ECAB690

文件说明符 : c:/Program Files/Internet Explorer/PLUGINS/NinSys74.Sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-10-7 12:10:55
修改时间 : 2007-10-10 22:10:38
访问时间 : 2007-10-11 0:0:0
大小 : 45178 字节 44.122 KB
MD5 : 379798cd3eccc1597e46820daed03d17
HSA1: F5DA9AB853BDDB510A63C57EF1A493509B1F2676

文件说明符 : c:/Program Files/Internet Explorer/PLUGINS/NysWin75.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-10-7 12:10:55
修改时间 : 2007-10-10 23:13:18
访问时间 : 2007-10-11 0:0:0
大小 : 32379 字节 31.635 KB
MD5 : c702d3c8959dcca8a0a55aef00358a97
HSA1: 249CCE7D1FDA11E43E6B7EB8AE17D87376373CE1

文件说明符 : c:/Program Files/Internet Explorer/PLUGINS/NinSys74.Tao
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-10-10 23:13:16
修改时间 : 2007-10-10 23:13:18
访问时间 : 2007-10-11 0:0:0
大小 : 45179 字节 44.123 KB
MD5 : 74e350f6a1f0d0b11047a932277def16
HSA1: E60983A06033A4FA81EDA8D9D448AF98061AF371

没时间逐一测试杀软的反应了

Dyn DNS遭遇DDOS攻击,作为小白,我该怎么保护自己的电脑

故事背景昨天晚上到今天早晨据说“半个美国互联网”都瘫痪了,就是因为DDoS攻击——Twitter、GitHub、Spotify、Airbnb、Etsy都受到影响。上如:(有种沦陷的感觉) Dyn...
  • cakushin7433
  • cakushin7433
  • 2016年10月23日 14:26
  • 474

不可忽视的信息安全,国务院某App的H5遭遇流量劫持

上周,Wannacry勒索病毒引起了全球轰动,各大信息网络都被这病毒刷屏了,大家的眼球都集中在这一勒索病毒的进展,导致国内一条重要的安全信息被刷走了,没引起大家的关注。不久前,某国字号的App遭遇流量...
  • Trustauth
  • Trustauth
  • 2017年10月25日 09:47
  • 210

利用Nignx巧妙解决我所遇到的DDOS攻击

1. 问题 自家的APP上线已经有一段时间了,突然有一天发现线上产品居然不能发送验证码。 登录第三方短信验证码服务后台,发现问题很严重。 3 youbiquan 15797 201...
  • hopeztm
  • hopeztm
  • 2016年01月10日 22:34
  • 1873

大数据业界最新动态(2016.07.26,第14期,不断更新中)

大数据业界最新动态@(大数据)[投资|技术]bigdata (https://sens2010.gitbooks.io/bigdata)是一个为国人提供大数据资讯的项目,资讯来源于各大知名互联网门户并...
  • hanyueqi
  • hanyueqi
  • 2016年06月08日 21:58
  • 1257

自己遭遇不幸

没毕业的时候,我在上海开始找工作,刚开始接到的是SoftVan的offer,之前在学校的时候,这个公司一直通知我去面试,说的意思就是可能直接上班,因为我是通过一个培训部门过去的,我的技术还不错对于其他...
  • yuan8222
  • yuan8222
  • 2013年04月30日 17:45
  • 428

【转】当ping遭遇问号

当ping遭遇问号   原因Winsock安装了第三方加载项例如流氓软件、代理服务器软件,杀毒软件、防火墙,但是,也可能是文件丢失或被误删除。   解决办法:   一、L...
  • annaij1989
  • annaij1989
  • 2013年08月16日 15:16
  • 291

Java中遭遇NaN

虽然几乎每种处理器和编程语言都支持浮点运算,但大多数程序员很少注意它。这容易理解 ,我们中大多数很少需要使用非整数类型。除了科学计算和偶尔的计时测试或基准测试程序,其它情况下几乎都用不着它。同样,大多...
  • sdujava2011
  • sdujava2011
  • 2015年11月25日 14:43
  • 255

微笑---面对所遭遇的一切

微笑面对所遭遇的一切 谁的人生路都走得不容易 作为一名有睡眠障碍的人来说,有时候睡一个好觉简直是我人生的奢侈品,你站不在一个失眠者的角度上,你 体会不到失眠的痛苦,即使这样,晚上有时失眠,白...
  • bestxianfeng163
  • bestxianfeng163
  • 2017年08月03日 19:10
  • 81

工作中遭遇的问题及解决办法

85 对编辑框控件进行排序  ctrl+D 依次点击排序 84 放到数组里或者hashmap里,循环比较;    或者在任意值修改过的记个变量m_bEidt;    也可以定义个结构体,把结构...
  • aixiaodetianshi
  • aixiaodetianshi
  • 2013年02月01日 13:43
  • 557

Java中遭遇NaN

虽然几乎每种处理器和编程语言都支持浮点运算,但大多数程序员很少注意它。这容易理解 ,我们中大多数很少需要使用非整数类型。除了科学计算和偶尔的计时测试或基准测试程序,其它情况下几乎都用不着它。同样,大多...
  • oChangWen
  • oChangWen
  • 2016年05月24日 15:05
  • 459
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:遭遇 NinSys74.Sys,B674A2D4.EXE,42AE09E4.DLL,msavp.dll,avpdj,avpwl.dll等
举报原因:
原因补充:

(最多只允许输入30个字)