电脑开机自动装垃圾软件，原来中了Adware：usbadmi.sys

　　一位朋友的电脑最近出现异常情况，开机进入桌面后会自动安装 7k7k游戏、淘宝网、开心小工具、折子购物、爱奇艺之类乱七八糟的东东，卸载后下次开机又出来。

　　电脑中安装的电脑管家在开机时会提示svchost.exe试图自动修改IE主页，已拦截。

　　随后系统不断弹出错误提示框：

　　Unable to write to C:\Users\Public\Desktop\InterNet Explorer.url

 

　　直到Stack orerflow，系统弹出新的错误提示框：

 

　　Windows服务主进程已停止工作。出现了一个问题，出现一个问题，导致程序停止正常工作，请关闭该程序。

 

　　用电脑管家体检修复，仍然没有解决问题。

　　用pe_xscan扫描，发现有如下可疑启动项：

pe_xscan 11-03-17 by Purple Endurer
2015-3-23 20:45:0
Windows Windows 7 Service Pack 1(6.1.7601)
MSIE:9.11.9600.17691
管理员用户组
正常模式

O4 - HKLM\..\run: [zpmc] rundll32 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL Start

O23 - 服务: usbadmi (usbadmi) - C:\Windows\System32\Drivers\usbadmi.sys |$X(系统)

 

　　用WinRAR检查C:\Windows\Web\Wallpaper文件夹，没有发现B0C2FE~1.DLL，只有一个名为b0c2fe7b4751a9b83f249894bc8ad051.jpg的文件。

文件说明符 : C:\Windows\Web\Wallpaper\b0c2fe7b4751a9b83f249894bc8ad051.jpg
属性 : A---
数字签名 : 否
PE文件 : 否
创建时间 : 2015-3-26 21:26:8
修改时间 : 2015-3-26 21:26:8
大小 : 1840221 字节 1.773 MB
MD5 : 65b2e6af96852d3b28331a3e438a0496
SHA1: 4BDDA68F499911E6B30B6265860FC5B32F74F42C
CRC32: 57834f92

　　居然有近1.8 MB，用IrfanView打开：

　　像素才是205×629×24 BPI，明显不匹配。

　　在C:\Windows\Web\Wallpaper下创建一个名为B0C2FE~1.DLL的文件夹，设置只读、系统、隐藏属性。

　　结果随后在关机和开机时会弹出错误提示框：

　　启动 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL 时出现问题，拒绝访问。

文件说明符 : c:\windows\system32\drivers\usbadmi.sys
属性 : A---
数字签名:Beijing fun Ecommerce Co., Ltd
PE文件 : 是
获取文件版本信息大小失败!
创建时间 : 2015-3-22 10:29:40
修改时间 : 2015-3-22 10:33:23
大小 : 330544 字节 322.816 KB
MD5 : e9196f934afa3a911233aadf6093f1da
SHA1: B8C0318A4847B3DBB6B39961E02244024BBA81BD
CRC32: 9dade4c8

上传多杀毒引擎扫描结果http://r.virscan.org/report/0c4d5ed3f4cd9464612dc5cdbb2a92dd

 

扫描结果

警惕 此文件有2个引擎报毒，是病毒的可能性较高，如果没有必要尽量不要打开或者运行。

扫描结果:5%的杀软(2/39)报告发现病毒

时间: 2015-03-27 00:33:15 (CST)

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	扫描耗时
ANTIVIR	1.9.2.0	1.9.159.0	7.11.219.114	没有发现病毒	16
AVAST!	150226-0	4.7.4	2015-02-26	没有发现病毒	31
AVG	2109/8526	10.0.1405	2015-01-30	没有发现病毒	6
ArcaVir	1.0	2011	2014-05-30	没有发现病毒	8
Authentium	4.6.5	5.3.14	2013-12-01	没有发现病毒	1
Baidu Antivirus	2.0.1.0	4.1.3.52192	2.0.1.0	没有发现病毒	4
Bitdefender	7.58879	7.90123	2015-01-16	没有发现病毒	1
ClamAV	20239	0.97.5	2015-03-26	没有发现病毒	1
Comodo	15023	5.1	2015-03-25	没有发现病毒	3
Dr.Web	5.0.2.3300	5.0.1.1	2015-01-23	没有发现病毒	31
F-PROT	4.6.2.117	6.5.1.5418	2015-03-24	没有发现病毒	1
F-Secure	2014-04-02-01	9.13	2014-04-02	没有发现病毒	5
Fortinet	25.125, 25.125	5.1.158	2015-03-25	没有发现病毒	1
GData	25.820	25.820	2015-03-25	没有发现病毒	8
IKARUS	1.06.01	V1.32.31.0	2015-01-30	没有发现病毒	14
NOD32	0801	3.0.21	2014-11-29	没有发现病毒	1
QQ手机	1.0.0.0	1.0.0.0	2015-03-25	没有发现病毒	1
Quickheal	14.00	14.00	2015-03-25	没有发现病毒	2
SOPHOS	5.08	3.55.0	2014-12-01	没有发现病毒	7
Sunbelt	3.9.2623.2	3.9.2623.2	2015-03-25	没有发现病毒	1
TheHacker	6.8.0.5	6.8.0.5	2015-03-24	没有发现病毒	1
Vba32	3.12.26.3	3.12.26.3	2015-03-24	没有发现病毒	3
ViRobot	2.73	2.73	2015-01-30	没有发现病毒	1
VirusBuster	15.0.985.0	5.5.2.13	2014-12-05	没有发现病毒	15
a-squared	9.0.0.4453	9.0.0.4453	2014-07-03	没有发现病毒	1
nProtect	9.9.9	9.9.9	2013-12-27	没有发现病毒	3
卡巴斯基	5.5.33	5.5.33	2014-04-01	没有发现病毒	19
奇虎360	1.0.1	1.0.1	1.0.1	Win32/Trojan.Adware.37e	13
安博士V3	9.9.9	9.9.9	2013-05-28	没有发现病毒	4
安天	AVL SDK 3.0	2014112615531100	2014-11-26	没有发现病毒	1
江民杀毒	16.0.100	1.0.0.0	2015-03-24	没有发现病毒	36
熊猫卫士	9.05.01	9.05.01	2015-03-25	没有发现病毒	3
瑞星	25.59.01.04	25.59.01.04	2015-03-24	没有发现病毒	1
百度杀毒	1.0	1.0	2014-04-02	没有发现病毒	1
费尔	17.47.17308	1.0.2.2108	2015-03-25	没有发现病毒	6
赛门铁克	20150323.001	1.3.0.24	2015-03-23	没有发现病毒	1
趋势科技	11.558.05	9.500-1005	2015-03-24	没有发现病毒	1
迈克菲	7638	5400.1158	2014-11-30	没有发现病毒	7
金山毒霸	2.1	2.1	2013-09-22	Win32.ADWARE.Advert.ac.(kcloud)	4

■Heuristic/Suspicious ■Exact

注意: 就算报告发现病毒，也可能是杀软误报，请根据查毒结果自行判断