遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等1

遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等1

 

endurer 原创
2008-10-22 第1

 

前天,一位同事说他电脑中的输入法图标不见了,请偶帮忙。

打开控制面板—>区域和语言选项—>语言—>详细信息—>高级,发现高级文字服务已经勾上了,把勾去掉,应用,再勾上,点击应用,再点确定。输入法图标还是显示不出来。

开始-运行:ctfmon.exe,还是不行。检查发现ctfmon.exe文件的图标不对,下载FileInfo提取文件信息:

 

文件说明符 : C:/WINDOWS/system32/ctfmon.exe
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
大小 : 15360 字节 15.0 KB
MD5 : 9663bbc80831c55bfb858d472687ef5a
SHA1: 15E09CBAE3B845900AD68689F91BF64A865BA922
CRC32: 3c9a86ba

 

明显是被替换了。

 

近期出现的一些病毒喜欢替换ctfmon.exe来实现开机自启动,难道这台电脑也中标了?

 

运行msconfig.exe检查启动项,发现了下面的pe_xscan扫描log中的O4项:

 

O4 - HKLM/../Run: [HBService32] System.exe


前几天刚遇到过。

 

下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块部分有省略):

pe_xscan 08-08-01 by Purple Endurer 
2008-10-20 15:22:2
Windows XP Service Pack 2(5.1.2600)
MSIE:6.0.2900.2180
管理员用户组
正常模式

[System Process] * 0
  C:/WINDOWS/system32/HBmhly.dll | 2008-10-20 2:12:9
  C:/WINDOWS/system32/HBSOUL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBTL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/zjuwqgep.dll | 2008-10-20 2:12:12
  C:/WINDOWS/system32/58FF3024.dll | 2008-10-20 2:13:12
  C:/WINDOWS/system32/495271CA.dll | 2008-10-20 2:12:50
  C:/WINDOWS/system32/22D75360.dll | 2008-10-20 2:12:56
  C:/WINDOWS/system32/4BF9CBA3.dll | 2008-10-20 2:12:37
  C:/WINDOWS/system32/4F34C688.dll | 2008-10-20 2:12:45
  C:/WINDOWS/system32/C250CF20.dll | 2008-10-20 2:12:32
  C:/WINDOWS/system32/82710040.dll | 2008-10-20 2:12:27
  C:/WINDOWS/system32/9CA963CA.dll | 2008-10-20 2:12:22
  C:/WINDOWS/system32/122B901E.dll | 2008-10-20 2:12:17
  C:/WINDOWS/system32/3474A8C2.dll | 2008-10-20 2:12:12
  C:/WINDOWS/system32/08223B03.dll | 2008-10-20 2:12:10
  C:/WINDOWS/system32/4D023DE9.dll | 2008-10-20 2:12:5
  C:/WINDOWS/system32/DA63E650.dll | 2008-10-20 2:12:2
  C:/WINDOWS/system32/DE02F764.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBCHIBI.dll | 2008-10-20 2:12:43
  C:/WINDOWS/system32/HBBO.dll | 2008-10-20 2:12:41
  C:/WINDOWS/system32/HBWOW.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBZHUXIAN.dll | 2008-10-20 2:12:26
  C:/WINDOWS/system32/HBASKTAO.dll | 2008-10-20 2:11:59
C:/WINDOWS/System32/winlogon.exe* 524 | 2004-8-17 4:0:0
  C:/WINDOWS/system32/HBmhly.dll | 2008-10-20 2:12:9
  C:/WINDOWS/system32/HBASKTAO.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBWOW.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBSOUL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBTL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBZHUXIAN.dll | 2008-10-20 2:12:26
  C:/WINDOWS/system32/HBBO.dll | 2008-10-20 2:12:41
  C:/WINDOWS/system32/HBCHIBI.dll | 2008-10-20 2:12:43
C:/WINDOWS/System32/SERVICES.EXE* 568 | 2004-8-17 4:0:0
  C:/WINDOWS/system32/HBmhly.dll | 2008-10-20 2:12:9
  C:/WINDOWS/system32/HBASKTAO.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBWOW.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBSOUL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBTL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBZHUXIAN.dll | 2008-10-20 2:12:26
  C:/WINDOWS/system32/HBBO.dll | 2008-10-20 2:12:41
  C:/WINDOWS/system32/HBCHIBI.dll | 2008-10-20 2:12:43
C:/WINDOWS/System32/LSASS.EXE* 580 | 2004-8-17 4:0:0
  C:/WINDOWS/system32/HBmhly.dll | 2008-10-20 2:12:9
  C:/WINDOWS/system32/HBASKTAO.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBWOW.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBSOUL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBTL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBZHUXIAN.dll | 2008-10-20 2:12:26
  C:/WINDOWS/system32/HBBO.dll | 2008-10-20 2:12:41
  C:/WINDOWS/system32/HBCHIBI.dll | 2008-10-20 2:12:43
C:/WINDOWS/System32/SVCHOST.EXE* 728 | 2004-8-17 4:0:0
  C:/WINDOWS/system32/HBmhly.dll | 2008-10-20 2:12:9
  C:/WINDOWS/system32/HBASKTAO.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBWOW.dll | 2008-10-20 2:11:59
  C:/WINDOWS/system32/HBSOUL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBTL.dll | 2008-10-20 2:11:58
  C:/WINDOWS/system32/HBZHUXIAN.dll | 2008-10-20 2:12:26
  C:/WINDOWS/system32/HBBO.dll | 2008-10-20 2:12:41
  C:/WINDOWS/system32/HBCHIBI.dll | 2008-10-20 2:12:43
F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/vonine.exe>
O3 - IE工具栏: 快捷工具条3.21 - {BE830FD4-E393-417F-9F4B-CC70ABB3384C} =C:/WINDOWS/system32/ietool.dll
O3 - IE工具栏: 快捷工具条3.21 - {07A5BABA-6C77-4863-BD39-71962861753A} =C:/WINDOWS/system32/lingyu.dll | 2008-7-22 11:47:22
O4 - HKLM/../Run: [HBService32] System.exe
O4 - HKLM/../Policies/Explorer/Run:[mainyust] C:/WINDOWS/system32/inf/svchoct.exe C:/WINDOWS/wftadfi16_081016a.dll tan16d
O4 - Global Startup: svchost.exe -> Fail to open file
CmdProcAuto = C:/WINDOWS/system32/vonine.exe
O20 - AppInit_DLLs = HBmhly.dll,HBASKTAO.dll,HBWOW.dll,HBSOUL.dll,HBTL.dll,HBZHUXIAN.dll,HBBO.dll,HBCHIBI.dll
O21 - SSODL - zjuwqgep.dll(0) - {F0930A2F-D971-4828-8209-B7DFD266ED44} =C:/WINDOWS/system32/zjuwqgep.dll | 2008-10-20 2:12:12
O23 - 服务: 4901228 (4901228) - C:/WINDOWS/system32/4901228.sys | 2008-10-20 2:12:56(手动)
O23 - 服务: 8b52f47 (8b52f47) - C:/WINDOWS/system32/8b52f47.sys | 2008-10-20 2:11:59(手动)
O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys | 2008-10-8 3:14:33(系统)
O23 - 服务: Beep () - C:/WINDOWS/system32/drivers/Beep.sys | 2008-10-20 10:11:22(系统)
O23 - 服务: bzqcaby (bzqcaby) - C:/WINDOWS/system32/drivers/bzqcaby.sys | 2008-10-20 2:11:25(手动)
O23 - 服务: HBKernel32 (HBKernel32 Driver) - system32/drivers/HBKernel32.sys | 2008-10-20 2:11:58(引导)
O23 - 服务: qabop (qabop) - C:/WINDOWS/system32/drivers/qabop.sys | 2008-10-20 7:3:12(手动)
O23 - 服务: RESSDT (RESSDT) - C:/WINDOWS/system32/ssdtti.sys (手动)
O23 - 服务: sppmk (sppmk) - C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/_tmp.bat (手动)
O23 - 服务: ublhbztl (ublhbztl) - System32/DRIVERS/ublhbztl.sys | 2008-10-13 0:32:52(引导)
O23 - 服务: yaskp (yaskp) - system32/drivers/yaskp.sys | 2008-10-9 7:51:54(引导)
O24 - ShlExecHook: [F] - {DE02F764-C51A-4788-9597-D78ECC2AC08F} = DE02F764.dll
O24 - ShlExecHook: [B] - {DA63E650-537C-4042-87BB-9D19D844680B} = DA63E650.dll
O24 - ShlExecHook: [6] - {4D023DE9-F4B5-4BE0-99C6-7C7AD0CF5426} = 4D023DE9.dll
O24 - ShlExecHook: [E] - {08223B03-1B38-4A33-A83A-A4D3CC1D6E4E} = 08223B03.dll
O24 - ShlExecHook: [0] - {3474A8C2-BEF9-46C8-983A-A26A0030EC30} = 3474A8C2.dll
O24 - ShlExecHook: [4] - {F0930A2F-D971-4828-8209-B7DFD266ED44} = C:/WINDOWS/system32/zjuwqgep.dll | 2008-10-20 2:12:12
O24 - ShlExecHook: [C] - {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} = 122B901E.dll
O24 - ShlExecHook: [3] - {9CA963CA-107C-4089-B0AB-31380F90D7E3} = 9CA963CA.dll
O24 - ShlExecHook: [8] - {82710040-F86E-42E0-B1F8-04EDF75856F8} = 82710040.dll
O24 - ShlExecHook: [B] - {C250CF20-5F89-4310-9854-4BC261FB14FB} = C250CF20.dll
O24 - ShlExecHook: [F] - {4BF9CBA3-8DEE-41A1-8BDB-FC28D30E949F} = 4BF9CBA3.dll
O24 - ShlExecHook: [2] - {4F34C688-FD49-42FC-97F7-87D2F5791612} = 4F34C688.dll
O24 - ShlExecHook: [0] - {495271CA-D0C6-4052-ABE6-5B01C73CDFB0} = 495271CA.dll
O24 - ShlExecHook: [6] - {22D75360-199D-4F79-880D-82E766675F06} = 22D75360.dll
O24 - ShlExecHook: [E] - {58FF3024-8A83-4B1A-88E9-302F47646EEE} = 58FF3024.dll
O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360Safe.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: adam.exe -> ntsd -d
O26 - IFEO: AgentSvr.exe -> ntsd -d
O26 - IFEO: AntiArp.exe -> ntsd -d
O26 - IFEO: AppSvc32.exe -> ntsd -d
O26 - IFEO: autoruns.exe -> ntsd -d
O26 - IFEO: avconsol.exe -> ntsd -d
O26 - IFEO: avgrssvc.exe -> ntsd -d
O26 - IFEO: AvMonitor.exe -> ntsd -d
O26 - IFEO: avp.com -> ntsd -d
O26 - IFEO: avp.exe -> ntsd -d
O26 - IFEO: CCenter.exe -> ntsd -d
O26 - IFEO: ccSvcHst.exe -> ntsd -d
O26 - IFEO: conime.exe -> ntsd -d
O26 - IFEO: DrvAnti.exe -> ntsd -d
O26 - IFEO: drwadins.exe -> ntsd -d
O26 - IFEO: drwebscd.exe -> ntsd -d
O26 - IFEO: drwebupw.exe -> ntsd -d
O26 - IFEO: EGHOST.exe -> ntsd -d
O26 - IFEO: FileDsty.exe -> ntsd -d
O26 - IFEO: filemon.exe -> ntsd -d
O26 - IFEO: FTCleanerShell.exe -> ntsd -d
O26 - IFEO: FYFireWall.exe -> ntsd -d
O26 - IFEO: GFRing3.exe -> ntsd -d
O26 - IFEO: GFUpd.exe -> ntsd -d
O26 - IFEO: GuardField.exe -> ntsd -d
O26 - IFEO: HijackThis.exe -> ntsd -d
O26 - IFEO: IceSword.exe -> ntsd -d
O26 - IFEO: iparmo.exe -> ntsd -d
O26 - IFEO: Iparmor.exe -> ntsd -d
O26 - IFEO: isPwdSvc.exe -> ntsd -d
O26 - IFEO: kabaload.exe -> ntsd -d
O26 - IFEO: KaScrScn.SCR -> ntsd -d
O26 - IFEO: KASMain.exe -> ntsd -d
O26 - IFEO: KASTask.exe -> ntsd -d
O26 - IFEO: KAV32.exe -> ntsd -d
O26 - IFEO: KAVDX.exe -> ntsd -d
O26 - IFEO: KAVPF.exe -> ntsd -d
O26 - IFEO: KAVPFW.exe -> ntsd -d
O26 - IFEO: KAVSetup.exe -> ntsd -d
O26 - IFEO: KAVStart.exe -> ntsd -d
O26 - IFEO: KISLnchr.exe -> ntsd -d
O26 - IFEO: KMailMon.exe -> ntsd -d
O26 - IFEO: KMFilter.exe -> ntsd -d
O26 - IFEO: KPFW32.exe -> ntsd -d
O26 - IFEO: KPFW32X.exe -> ntsd -d
O26 - IFEO: KPfwSvc.exe -> ntsd -d
O26 - IFEO: KRegEx.exe -> ntsd -d
O26 - IFEO: KRepair.com -> ntsd -d
O26 - IFEO: KsLoader.exe -> ntsd -d
O26 - IFEO: KVCenter.kxp -> ntsd -d
O26 - IFEO: KvDetect.exe -> ntsd -d
O26 - IFEO: KvfwMcl.exe -> ntsd -d
O26 - IFEO: KVMonXP.kxp -> ntsd -d
O26 - IFEO: KVMonXP_1.kxp -> ntsd -d
O26 - IFEO: kvol.exe -> ntsd -d
O26 - IFEO: kvolself.exe -> ntsd -d
O26 - IFEO: KvReport.kxp -> ntsd -d
O26 - IFEO: KVScan.kxp -> ntsd -d
O26 - IFEO: KVSrvXP.exe -> ntsd -d
O26 - IFEO: KVStub.kxp -> ntsd -d
O26 - IFEO: kvupload.exe -> ntsd -d
O26 - IFEO: kvwsc.exe -> ntsd -d
O26 - IFEO: KvXP.kxp -> ntsd -d
O26 - IFEO: KvXP_1.kxp -> ntsd -d
O26 - IFEO: KWatch.exe -> ntsd -d
O26 - IFEO: KWatch9x.exe -> ntsd -d
O26 - IFEO: KWatchX.exe -> ntsd -d
O26 - IFEO: MagicSet.exe -> ntsd -d
O26 - IFEO: mcconsol.exe -> ntsd -d
O26 - IFEO: mmqczj.exe -> ntsd -d
O26 - IFEO: mmsk.exe -> ntsd -d
O26 - IFEO: Navapsvc.exe -> ntsd -d
O26 - IFEO: Navapw32.exe -> ntsd -d
O26 - IFEO: nod32.exe -> ntsd -d
O26 - IFEO: nod32krn.exe -> ntsd -d
O26 - IFEO: nod32kui.exe -> ntsd -d
O26 - IFEO: NPFMntor.exe -> ntsd -d
O26 - IFEO: OllyDBG.EXE -> ntsd -d
O26 - IFEO: OllyICE.EXE -> ntsd -d
O26 - IFEO: PFW.exe -> ntsd -d
O26 - IFEO: PFWLiveUpdate.exe -> ntsd -d
O26 - IFEO: procexp.exe -> ntsd -d
O26 - IFEO: QHSET.exe -> ntsd -d
O26 - IFEO: QQDoctor.exe -> ntsd -d
O26 - IFEO: QQKav.exe -> ntsd -d
O26 - IFEO: Ras.exe -> ntsd -d
O26 - IFEO: RavCopy.exe -> ntsd -d
O26 - IFEO: RavMon.exe -> ntsd -d
O26 - IFEO: RavMonD.exe -> ntsd -d
O26 - IFEO: RavStub.exe -> ntsd -d
O26 - IFEO: RavTask.exe -> ntsd -d
O26 - IFEO: RavXP.exe -> ntsd -d
O26 - IFEO: RawCopy.exe -> ntsd -d
O26 - IFEO: RegClean.exe -> ntsd -d
O26 - IFEO: regedit.exe -> ntsd -d
O26 - IFEO: regmon.exe -> ntsd -d
O26 - IFEO: RegTool.exe -> ntsd -d
O26 - IFEO: rfwcfg.exe -> ntsd -d
O26 - IFEO: rfwmain.exe -> ntsd -d
O26 - IFEO: rfwProxy.exe -> ntsd -d
O26 - IFEO: rfwsrv.exe -> ntsd -d
O26 - IFEO: rfwstub.exe -> ntsd -d
O26 - IFEO: RsAgent.exe -> ntsd -d
O26 - IFEO: Rsaupd.exe -> ntsd -d
O26 - IFEO: runiep.exe -> ntsd -d
O26 - IFEO: safelive.exe -> ntsd -d
O26 - IFEO: scan32.exe -> ntsd -d
O26 - IFEO: shcfg32.exe -> ntsd -d
O26 - IFEO: SmartUp.exe -> ntsd -d
O26 - IFEO: spiderml.exe -> ntsd -d
O26 - IFEO: spidernt.exe -> ntsd -d
O26 - IFEO: spiderui.exe -> ntsd -d
O26 - IFEO: spml_set.exe -> ntsd -d
O26 - IFEO: SREng.EXE -> ntsd -d
O26 - IFEO: symlcsvc.exe -> ntsd -d
O26 - IFEO: SysSafe.exe -> ntsd -d
O26 - IFEO: taskmgar.exe -> ntsd -d
O26 - IFEO: TrojanDetector.exe -> ntsd -d
O26 - IFEO: Trojanwall.exe -> ntsd -d
O26 - IFEO: TrojDie.kxp -> ntsd -d
O26 - IFEO: UIHost.exe -> ntsd -d
O26 - IFEO: UmxAgent.exe -> ntsd -d
O26 - IFEO: UmxAttachment.exe -> ntsd -d
O26 - IFEO: UmxCfg.exe -> ntsd -d
O26 - IFEO: UmxFwHlp.exe -> ntsd -d
O26 - IFEO: UmxPol.exe -> ntsd -d
O26 - IFEO: UpLive.exe -> ntsd -d
O26 - IFEO: vsstat.exe -> ntsd -d
O26 - IFEO: webscanx.exe -> ntsd -d
O26 - IFEO: WoptiClean.exe -> ntsd -d
O27 - DeskCom: 0() - hxxp://www.21yyw.com/Shop/UploadPhotos/200712/20071208202852447.jpg -> .
O27 - DeskCom: 1() - hxxp://www.21yyw.com/Shop/UploadPhotos/200712/20071208204059776.jpg -> .
O27 - DeskCom: 2() - hxxp://www.fpcn.net/image/4a.gif -> .
O27 - DeskCom: 3() - hxxp://www.fpcn.net/image/13a.gif -> .
O27 - DeskCom: 4() - hxxp://www.ycwb.com/images/2006-12/11/xin_401203111538546284634.jpg -> .

(未完待续)

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值