一位朋友的电脑最近出现异常情况,开机进入桌面后会自动安装 7k7k游戏、淘宝网、开心小工具、折子购物、爱奇艺之类乱七八糟的东东,卸载后下次开机又出来。
电脑中安装的电脑管家在开机时会提示svchost.exe试图自动修改IE主页,已拦截。
随后系统不断弹出错误提示框:
Unable to write to C:\Users\Public\Desktop\InterNet Explorer.url
直到Stack orerflow,系统弹出新的错误提示框:
Windows服务主进程已停止工作。出现了一个问题,出现一个问题,导致程序停止正常工作,请关闭该程序。
用电脑管家体检修复,仍然没有解决问题。
用pe_xscan扫描,发现有如下可疑启动项:
pe_xscan 11-03-17 by Purple Endurer
2015-3-23 20:45:0
Windows Windows 7 Service Pack 1(6.1.7601)
MSIE:9.11.9600.17691
管理员用户组
正常模式
O4 - HKLM\..\run: [zpmc] rundll32 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL Start
O23 - 服务: usbadmi (usbadmi) - C:\Windows\System32\Drivers\usbadmi.sys |$X(系统)
用WinRAR检查C:\Windows\Web\Wallpaper文件夹,没有发现B0C2FE~1.DLL,只有一个名为b0c2fe7b4751a9b83f249894bc8ad051.jpg的文件。
文件说明符 : C:\Windows\Web\Wallpaper\b0c2fe7b4751a9b83f249894bc8ad051.jpg
属性 : A---
数字签名 : 否
PE文件 : 否
创建时间 : 2015-3-26 21:26:8
修改时间 : 2015-3-26 21:26:8
大小 : 1840221 字节 1.773 MB
MD5 : 65b2e6af96852d3b28331a3e438a0496
SHA1: 4BDDA68F499911E6B30B6265860FC5B32F74F42C
CRC32: 57834f92
居然有近1.8 MB,用IrfanView打开:
像素才是205×629×24 BPI,明显不匹配。
在C:\Windows\Web\Wallpaper下创建一个名为B0C2FE~1.DLL的文件夹,设置只读、系统、隐藏属性。
结果随后在关机和开机时会弹出错误提示框:
启动 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL 时出现问题,拒绝访问。
文件说明符 : c:\windows\system32\drivers\usbadmi.sys
属性 : A---
数字签名:Beijing fun Ecommerce Co., Ltd
PE文件 : 是
获取文件版本信息大小失败!
创建时间 : 2015-3-22 10:29:40
修改时间 : 2015-3-22 10:33:23
大小 : 330544 字节 322.816 KB
MD5 : e9196f934afa3a911233aadf6093f1da
SHA1: B8C0318A4847B3DBB6B39961E02244024BBA81BD
CRC32: 9dade4c8
上传多杀毒引擎扫描结果http://r.virscan.org/report/0c4d5ed3f4cd9464612dc5cdbb2a92dd
-
扫描结果
-
警惕 此文件有2个引擎报毒,是病毒的可能性较高,如果没有必要尽量不要打开或者运行。 扫描结果:5%的杀软(2/39)报告发现病毒 时间: 2015-03-27 00:33:15 (CST) -
软件名称 引擎版本 病毒库版本 病毒库时间 扫描结果 扫描耗时 ANTIVIR 1.9.2.0 1.9.159.0 7.11.219.114 没有发现病毒 16 AVAST! 150226-0 4.7.4 2015-02-26 没有发现病毒 31 AVG 2109/8526 10.0.1405 2015-01-30 没有发现病毒 6 ArcaVir 1.0 2011 2014-05-30 没有发现病毒 8 Authentium 4.6.5 5.3.14 2013-12-01 没有发现病毒 1 Baidu Antivirus 2.0.1.0 4.1.3.52192 2.0.1.0 没有发现病毒 4 Bitdefender 7.58879 7.90123 2015-01-16 没有发现病毒 1 ClamAV 20239 0.97.5 2015-03-26 没有发现病毒 1 Comodo 15023 5.1 2015-03-25 没有发现病毒 3 Dr.Web 5.0.2.3300 5.0.1.1 2015-01-23 没有发现病毒 31 F-PROT 4.6.2.117 6.5.1.5418 2015-03-24 没有发现病毒 1 F-Secure 2014-04-02-01 9.13 2014-04-02 没有发现病毒 5 Fortinet 25.125, 25.125 5.1.158 2015-03-25 没有发现病毒 1 GData 25.820 25.820 2015-03-25 没有发现病毒 8 IKARUS 1.06.01 V1.32.31.0 2015-01-30 没有发现病毒 14 NOD32 0801 3.0.21 2014-11-29 没有发现病毒 1 QQ手机 1.0.0.0 1.0.0.0 2015-03-25 没有发现病毒 1 Quickheal 14.00 14.00 2015-03-25 没有发现病毒 2 SOPHOS 5.08 3.55.0 2014-12-01 没有发现病毒 7 Sunbelt 3.9.2623.2 3.9.2623.2 2015-03-25 没有发现病毒 1 TheHacker 6.8.0.5 6.8.0.5 2015-03-24 没有发现病毒 1 Vba32 3.12.26.3 3.12.26.3 2015-03-24 没有发现病毒 3 ViRobot 2.73 2.73 2015-01-30 没有发现病毒 1 VirusBuster 15.0.985.0 5.5.2.13 2014-12-05 没有发现病毒 15 a-squared 9.0.0.4453 9.0.0.4453 2014-07-03 没有发现病毒 1 nProtect 9.9.9 9.9.9 2013-12-27 没有发现病毒 3 卡巴斯基 5.5.33 5.5.33 2014-04-01 没有发现病毒 19 奇虎360 1.0.1 1.0.1 1.0.1 Win32/Trojan.Adware.37e 13 安博士V3 9.9.9 9.9.9 2013-05-28 没有发现病毒 4 安天 AVL SDK 3.0 2014112615531100 2014-11-26 没有发现病毒 1 江民杀毒 16.0.100 1.0.0.0 2015-03-24 没有发现病毒 36 熊猫卫士 9.05.01 9.05.01 2015-03-25 没有发现病毒 3 瑞星 25.59.01.04 25.59.01.04 2015-03-24 没有发现病毒 1 百度杀毒 1.0 1.0 2014-04-02 没有发现病毒 1 费尔 17.47.17308 1.0.2.2108 2015-03-25 没有发现病毒 6 赛门铁克 20150323.001 1.3.0.24 2015-03-23 没有发现病毒 1 趋势科技 11.558.05 9.500-1005 2015-03-24 没有发现病毒 1 迈克菲 7638 5400.1158 2014-11-30 没有发现病毒 7 金山毒霸 2.1 2.1 2013-09-22 Win32.ADWARE.Advert.ac.(kcloud) 4
- ■Heuristic/Suspicious ■Exact
- 注意: 就算报告发现病毒,也可能是杀软误报,请根据查毒结果自行判断