endurer 原创
2007-01-03 第1版
一位网友的电脑在查杀病毒后,启动时进入桌面前有出错提示音。让偶通过QQ远程协助检修。
到 http://endurer.ys168.com 下载了 HijackThis 扫描 log,未见异常。
用pe_xscan扫描,发现可疑服务项:
/----
pe_xscan by Purple Endurer
2007-2-3 11:21:4
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:/WINDOWS/system32//rundll32.exe windhcp.ocx,input(自动启动)
----/
到注册表里删除了。
从病毒隔离区里恢复了三个病毒文件。
1)tian.exe
采用PECompact 2.x -> Jeremy Collake加壳。
/----
文件说明符 : d:/test/tian.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-3 11:34:23
修改时间 : 2007-2-3 11:34:24
访问时间 : 2007-2-3 0:0:0
大小 : 46592 字节 45.512 KB
MD5 : 752b10c91caa7e768d11c8fcfcf5dba1
----/
Kaspersky 报为 Trojan.Win32.Agent.abf
瑞星 报为 Trojan.PSW.JHOnline.fbd
Scanned file: tian.exe - Infected |
tian.exe - infected by Trojan.Win32.Agent.abf Statistics:
2)j.exe Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es |
Scanned file: j.exe - Infected |
j.exe - infected by Trojan-PSW.Win32.OnLineGames.es Statistics:
|
3)windhcp.ocx
采用 PeCompact v2.08->Bitsum Technologies(signature by loveboom) 加壳。
/----
文件说明符 : d:/test/windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-3 11:28:15
修改时间 : 2007-2-3 11:28:16
访问时间 : 2007-2-3 0:0:0
大小 : 41984 字节 41.0 KB
MD5 : 24a46bea179948ac35e66cdd885306c6
----/
Kaspersky 报为 Trojan.Win32.Agent.abf
瑞星报为:Trojan.Spy.Agent.cns
Scanned file: windhcp.ocx - Infected |
windhcp.ocx - infected by Trojan.Win32.Agent.abf Statistics:
|