endurer 原创
2009-06-20 第1版
昨天又有一位朋友的电脑中的IE浏览器被hxxp://www.9348.cn劫持,而且症状比前一位还要重:输入Windows登录密码后,要等N久才能进入桌面,有时无法拔号上网,偶尔能上网,又不定期弹广告……系统巨慢~
以带命令行提示符的安全模式进入Windows,使用电脑中原来存有的老版本的pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 08-07-01 by Purple Endurer
2009-6-19 18:0:32
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
安全模式
F3 - REG: win.ini: load = flymy.exe
O4 - HKLM/../RunOnce: [EgwM] %systemroot%/system32/rundll32.exe %systemroot%/system32/vrcm.dll,DllRegisterServer
O4 - HKLM/../Policies/Explorer/Run: [ming9bstart] C:/WINDOWS/system/ming9b090423.exe
O21 - SSODL - WebCheck(WebCheck) - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:/WINDOWS/system32/webcheck.dll | 2007-5-31 16:0:0
O23 - 服务: jyavhsh (jyavhsh) - system32/drivers/iyeap.sys (引导)
O23 - 服务: klan (klan) - C:/WINDOWS/system32/drivers/klan.sys | 2009-6-12 9:13:17(自动)
O26 - IFEO: 360hotfix.exe -> ntsd -d
O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360safe.exe -> ntsd -d
O26 - IFEO: 360safebox.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: agentsvr.exe -> ntsd -d
O26 - IFEO: apvxdwin.exe -> ntsd -d
O26 - IFEO: ast.exe -> ntsd -d
O26 - IFEO: avcenter.exe -> ntsd -d
O26 - IFEO: avengine.exe -> ntsd -d
O26 - IFEO: avgnt.exe -> ntsd -d
O26 - IFEO: avguard.exe -> ntsd -d
O26 - IFEO: avltmain.exe -> ntsd -d
O26 - IFEO: avp32.exe -> ntsd -d
O26 - IFEO: avtask.exe -> ntsd -d
O26 - IFEO: bdagent.exe -> ntsd -d
O26 - IFEO: bdwizreg.exe -> ntsd -d
O26 - IFEO: boxmod.exe -> ntsd -d
O26 - IFEO: ccapp.exe -> ntsd -d
O26 - IFEO: ccenter.exe -> ntsd -d
O26 - IFEO: ccevtmgr.exe -> ntsd -d
O26 - IFEO: ccregvfy.exe -> ntsd -d
O26 - IFEO: ccsetmgr.exe -> ntsd -d
O26 - IFEO: cqw32.exe -> ntsd -d
O26 - IFEO: DrvAnti.exe -> ntsd -d
O26 - IFEO: egui.exe -> ntsd -d
O26 - IFEO: ekrn.exe -> ntsd -d
O26 - IFEO: enc98.EXE -> ntsd -d
O26 - IFEO: extdb.exe -> ntsd -d
O26 - IFEO: frameworkservice.exe -> ntsd -d
O26 - IFEO: frwstub.exe -> ntsd -d
O26 - IFEO: guardfield.exe -> ntsd -d
O26 - IFEO: iparmor.exe -> ntsd -d
O26 - IFEO: kaccore.exe -> ntsd -d
O26 - IFEO: kasmain.exe -> ntsd -d
O26 - IFEO: kav32.exe -> ntsd -d
O26 - IFEO: kavstart.exe -> ntsd -d
O26 - IFEO: kavsvc.exe -> ntsd -d
O26 - IFEO: kavsvcui.exe -> ntsd -d
O26 - IFEO: kislnchr.exe -> ntsd -d
O26 - IFEO: kissvc.exe -> ntsd -d
O26 - IFEO: kmailmon.exe -> ntsd -d
O26 - IFEO: knownsvr.exe -> ntsd -d
O26 - IFEO: kpfw32.exe -> ntsd -d
O26 - IFEO: kpfwsvc.exe -> ntsd -d
O26 - IFEO: kregex.exe -> ntsd -d
O26 - IFEO: kvfw.exe -> ntsd -d
O26 - IFEO: kvmonxp.exe -> ntsd -d
O26 - IFEO: kvmonxp.kxp -> ntsd -d
O26 - IFEO: kvol.exe -> ntsd -d
O26 - IFEO: kvprescan.exe -> ntsd -d
O26 - IFEO: kvsrvxp.exe -> ntsd -d
O26 - IFEO: kvwsc.exe -> ntsd -d
O26 - IFEO: kvxp.kxp -> ntsd -d
O26 - IFEO: kwatch.exe -> ntsd -d
O26 - IFEO: livesrv.exe -> ntsd -d
O26 - IFEO: makereport.exe -> ntsd -d
O26 - IFEO: mcagent.exe -> ntsd -d
O26 - IFEO: mcdash.exe -> ntsd -d
O26 - IFEO: mcdetect.exe -> ntsd -d
O26 - IFEO: mcshield.exe -> ntsd -d
O26 - IFEO: mctskshd.exe -> ntsd -d
O26 - IFEO: mcvsescn.exe -> ntsd -d
O26 - IFEO: mcvsshld.exe -> ntsd -d
O26 - IFEO: mghtml.exe -> ntsd -d
O26 - IFEO: naprdmgr.exe -> ntsd -d
O26 - IFEO: navapsvc.exe -> ntsd -d
O26 - IFEO: navapw32.exe -> ntsd -d
O26 - IFEO: navw32.exe -> ntsd -d
O26 - IFEO: nmain.exe -> ntsd -d
O26 - IFEO: nod32.exe -> ntsd -d
O26 - IFEO: nod32krn.exe -> ntsd -d
O26 - IFEO: nod32kui.exe -> ntsd -d
O26 - IFEO: npfmntor.exe -> ntsd -d
O26 - IFEO: oasclnt.exe -> ntsd -d
O26 - IFEO: pavsrv51.exe -> ntsd -d
O26 - IFEO: pfw.exe -> ntsd -d
O26 - IFEO: psctrls.exe -> ntsd -d
O26 - IFEO: psimreal.exe -> ntsd -d
O26 - IFEO: psimsvc.exe -> ntsd -d
O26 - IFEO: qqdoctormain.exe -> ntsd -d
O26 - IFEO: ras.exe -> ntsd -d
O26 - IFEO: ravmon.exe -> ntsd -d
O26 - IFEO: ravmond.exe -> ntsd -d
O26 - IFEO: ravstub.exe -> ntsd -d
O26 - IFEO: ravtask.exe -> ntsd -d
O26 - IFEO: rfwcfg.exe -> ntsd -d
O26 - IFEO: rfwmain.exe -> ntsd -d
O26 - IFEO: rfwproxy.exe -> ntsd -d
O26 - IFEO: rfwsrv.exe -> ntsd -d
O26 - IFEO: rsagent.exe -> ntsd -d
O26 - IFEO: rsmain.exe -> ntsd -d
O26 - IFEO: rsnetsvr.exe -> ntsd -d
O26 - IFEO: rssafety.exe -> ntsd -d
O26 - IFEO: rstray.exe -> ntsd -d
O26 - IFEO: safebank.exe -> ntsd -d
O26 - IFEO: safeboxtray.exe -> ntsd -d
O26 - IFEO: scan32.exe -> ntsd -d
O26 - IFEO: scanfrm.exe -> ntsd -d
O26 - IFEO: sched.exe -> ntsd -d
O26 - IFEO: seccenter.exe -> ntsd -d
O26 - IFEO: secnotifier.exe -> ntsd -d
O26 - IFEO: SetupLD.exe -> ntsd -d
O26 - IFEO: shstat.exe -> ntsd -d
O26 - IFEO: smartup.exe -> ntsd -d
O26 - IFEO: sndsrvc.exe -> ntsd -d
O26 - IFEO: spbbcsvc.exe -> ntsd -d
O26 - IFEO: symlcsvc.exe -> ntsd -d
O26 - IFEO: tbmon.exe -> ntsd -d
O26 - IFEO: uihost.exe -> ntsd -d
O26 - IFEO: ulibcfg.exe -> ntsd -d
O26 - IFEO: updaterui.exe -> ntsd -d
O26 - IFEO: uplive.exe -> ntsd -d
O26 - IFEO: vcr32.exe -> ntsd -d
O26 - IFEO: vcrmon.exe -> ntsd -d
O26 - IFEO: vptray.exe -> ntsd -d
O26 - IFEO: vsserv.exe -> ntsd -d
O26 - IFEO: vstskmgr.exe -> ntsd -d
O26 - IFEO: vstskmgr.exe -> ntsd -d
O26 - IFEO: webproxy.exe -> ntsd -d
O26 - IFEO: xcommsvr.exe -> ntsd -d
O26 - IFEO: xnlscn.exe -> ntsd -d
O26 - IFEO: 修复工具.exe -> ntsd -d
O29 - HKCU-Start Page = hxxp://www.9348.cn/?205428
O29 - HKLM-Start Page = hxxp://www.9348.cn/?205428HKLM/SHOWALL 值非1
从log上看与 IE主页被改为hxxp://www.9348.cn?原来是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1(http://blog.csdn.net/Purpleendurer/archive/2009/06/13/4267188.aspx)差不多。
由于这位朋友的电脑中装有杀毒软件avast,所以病毒对系统的修改和破坏没有上一位朋友那么厉害。
附部分恶意文件信息:
文件说明符 : C:/WINDOWS/system32/flymy.exe
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-12 17:13:25
修改时间 : 2009-6-12 17:13:26
大小 : 69632 字节 68.0 KB
MD5 : 5d99a5b6c15646421361fbdb8ed12d3e
SHA1: 5C080BBE433DBE024603F37F20DD5D213A026C12
CRC32: d0c0ccdd
卡巴斯基报为:Trojan-Spy.Win32.Agent.avxl
文件说明符 : C:/uninstc.exe
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-13 0:49:24
修改时间 : 2009-6-13 18:27:52
大小 : 82439 字节 80.519 KB
MD5 : ae9cd5610928479142e12c67f093349b
SHA1: 3040D388A6247C0511FB0E0BDCB3B9CAE46188AB
CRC32: 79557f47
卡巴斯基报为:Trojan.Win32.Pakes.nkm,瑞星报为:Win32.BMW.ba
文件说明符 : C:/uninst2.exe
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-13 0:49:26
修改时间 : 2009-6-13 18:27:58
大小 : 266896 字节 260.656 KB
MD5 : cfc3f6cb15d2e0bcf122860dfefeec5c
SHA1: 674FA0B1360F26E32A7F53D4864806271B5D52A0
CRC32: 92a5a51a
卡巴斯基报为:Trojan.Win32.Agent.bsmy,瑞星报为:Trojan.Win32.Nodef.ehm
文件说明符 : C:/WINDOWS/system/nb9ming32c090423.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-13 0:49:32
修改时间 : 2009-6-13 18:27:56
大小 : 110592 字节 108.0 KB
MD5 : d035bd33150a7d7c3b5fbfc3a8e4e127
SHA1: 0105FDC0C4038D5A012B6F9AD396277559F1142D
CRC32: 511ba43d
卡巴斯基报为:Worm.Win32.AutoRun.afcb,瑞星报为:Trojan.DL.Win32.MyDown.ciw
文件说明符 : C:/WINDOWS/system32/fly1930.dll
属性 : A
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : MyTest3
版权 : 版权所有 (C) 2008
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : MyTest3 Dynamic Link Library
公司名称 :
合法商标 :
内部名称 : MyTest3
源文件名 : MyTest3.DLL
创建时间 : 2009-6-12 17:13:23
修改时间 : 2009-6-12 17:13:24
大小 : 22528 字节 22.0 KB
MD5 : 8630677285c3902c773ad8f88a25e1d5
SHA1: 4B8E2B1EA00A366DCEDC3A2FCEDA363B24500D33
CRC32: fa524417
卡巴斯基报为:Trojan-Spy.Win32.Agent.avxk,瑞星报为:AdWare.Win32.Undef.ezf
文件说明符 : C:/WINDOWS/system32/HtmlPeek.dll
属性 : A
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-12 17:31:37
修改时间 : 2009-6-12 17:32:2
大小 : 358912 字节 350.512 KB
MD5 : 23361bde2776a366f9c01abcd95e37e6
SHA1: 46BCDA3337B9FE473DE132FF2FA607F491FF3DA8
CRC32: 5abe106f
卡巴斯基报为:not-a-virus:AdWare.Win32.Agent.okc
文件说明符 : C:/WINDOWS/system32/drivers/TXP1atform.exe
属性 : -
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-13 0:49:26
修改时间 : 2009-6-13 18:27:52
大小 : 82439 字节 80.519 KB
MD5 : ae9cd5610928479142e12c67f093349b
SHA1: 3040D388A6247C0511FB0E0BDCB3B9CAE46188AB
CRC32: 79557f47
卡巴斯基报为:Trojan.Win32.Pakes.nkm,瑞星报为:Win32.BMW.ba
文件说明符 : C:/WINDOWS/system32/drivers/klan.sys
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-6-12 17:13:17
修改时间 : 2009-6-19 17:58:8
大小 : 3200 字节 3.128 KB
MD5 : c4beb90047eb14e5b6fc8a69b94bb1bb
SHA1: 655FDA962139AE597A2E66916AAA4148BF472A71
CRC32: 827c31c2
卡巴斯基报为:Rootkit.Win32.Agent.lnw,瑞星报为:RootKit.Win32.Mnless.axe
文件说明符 : C:/WINDOWS/system32/vrcm.dll
属性 : -
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2007-6-1 0:0:0
修改时间 : 2007-6-1 0:0:0
大小 : 32768 字节 32.0 KB
MD5 : a862eafa4b1f487ccc9fc6239af110b3
SHA1: 48A653D8B2AEF2AD1B33EFB6B02FBF9691B56771
CRC32: edd3d5dd
卡巴斯基报为:Trojan.Win32.Agent.cmde
文件说明符 : C:/WINDOWS/system/xz.exe
属性 : A
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 2.0
说明 : 情se专用播放器
版权 : hxxp://www.crdy.org
备注 : 情se专用播放器
创建时间 : 2003-12-11 0:3:14
修改时间 : 2003-12-11 0:3:16
大小 : 944640 字节 922.512 KB
MD5 : ec877479a5cbd694e626f0ea282abc59
SHA1: B78783F93C117A20ED808D481B60D65AAAEDBE75
CRC32: e26bf5b9
与http://blog.csdn.net/Purpleendurer/archive/2009/05/19/4201761.aspx中的不同
文件说明符 : C:/WINDOWS/system32/npkcrypt.vxd
属性 : A
数字签名:否
PE文件:否
创建时间 : 2008-9-7 14:1:21
修改时间 : 2009-6-13 0:20:10
大小 : 25730 字节 25.130 KB
MD5 : aead38aceabaf357b1a8e9a3fa81d0dc
SHA1: CF08FB2945ECEC9FB051ADC2DAC9C519D7CD86BD
CRC32: a9ff504d