endurer 原创
2007-04-04 第1版
昨晚,一位网友说,他的电脑工作速度很慢,浏览网页时自动弹广告,让偶帮助检查一下。
让他先用HijackThis(可到http://endurer.ys168.com下载)扫描log传过来一看,估计是Viking了。
让他传了几个可疑文件过来。
同时到江民网站下载了Viking专杀工具传给网友查杀,果然清除了一些。
又将pe_xscan、ProcView(可到http://endurer.ys168.com下载)、IceSword(可到http://endurer.ys168.com下载)传了过去。
通过在线网页分析网友传回的pe_xscan的log,发现可疑项目:
/===
pe_xscan 07-03-17 by Purple Endurer
2007-4-3 22:38:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/WINDOWS/System32/svchost.exe * 892
c:/windows/system32/bxwhj.dll
c:/program files/iesnap/navoct.dll | 2007-3-12 10:28:46
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/WINDOWS/system32/EXPLORER.EXE * 1520 | 2006-10-25 8:32:36
C:/WINDOWS/system32/EXPLORER.EXE | 2006-10-25 8:32:36
C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk | 2007-4-3 11:44:24
C:/WINDOWS/system32/winform.dll | 2007-4-3 11:44:26
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
c:/windows/system32/bxwhj.dll
C:/WINDOWS/Explorer.EXE * 1548
C:/PROGRA~1/WinKld/Winkld.dat | 2006-4-30 15:18:52
C:/PROGRA~1/gxcj/hydk.nls | 2007-4-2 17:45:12
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/Program Files/superutilbar/superutilbar.dll | 2007-3-19 9:44:48
C:/Documents and Settings/Administrator/Application Data/Foxy/LinkMaker.dll | 2006-12-24 13:34:50
C:/WINDOWS/VM_STI.EXE * 1744 | 2005-2-28 17:53:4
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/WINDOWS/system32/ctfmon.exe * 1836
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/WINDOWS/system32/rundll32.exe * 288
C:/PROGRA~1/bvxe/ofkr.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/tkpw.dll | 2007-4-2 17:7:24
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/WINDOWS/system32/nvsvc32.exe * 440 | 2005-12-10 3:6:0
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
c:/PROGRA~1/iesnap/navplay.exe * 2204 | 2007-3-12 10:28:22
c:/PROGRA~1/iesnap/navplay.exe | 2007-3-12 10:28:22
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/Program Files/Internet Explorer/iexplore.exe * 1380 | 2004-8-17 20:0:0
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/Program Files/superutilbar/superutilbar.dll | 2007-3-19 9:44:48
c:/PROGRA~1/iesnap/navpref.dll | 2007-3-12 10:28:8
c:/PROGRA~1/iesnap/navseg.dll | 2007-3-12 10:28:12
c:/PROGRA~1/iesnap/navneg.dll | 2007-3-12 10:28:20
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/WINDOWS/system32/conime.exe * 2764
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/Program Files/QQ2006/QQ.exe * 5340 | 2006-5-9 17:23:22
C:/WINDOWS/system32/baqftx.dll | 2007-4-3 11:44:26
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/LgSy0.dll
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/Rav20.dll
C:/Program Files/QQ2006/TIMPlatform.exe * 6124 | 2006-4-25 16:13:36
c:/PROGRA~1/iesnap/navstub.dll | 2007-3-12 10:28:38
C:/PROGRA~1/bvxe/rinu.dll | 2007-4-2 17:7:24
C:/PROGRA~1/bvxe/wnsw.dll | 2007-4-2 17:7:24
wsctf.exe * 4508
F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:/PROGRA~1/Yahoo!/ASSIST~1/Assist/YDRAGS~1.DLL (file missing)
O2 - BHO: 实用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:/Program Files/superutilbar/superutilbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: 实用搜索工具条2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:/Program Files/superutilbar/superutilbar.dll
O4 - HKCR/../Run: [BSserver] FileKan.exe
O4 - HKCR/../Run: [foxy] "C:/Program Files/摩力游下载器/Foxy.exe" -tray
O4 - HKCR/../Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCR/../Run: [wsctf.exe] wsctf.exe
O4 - HKCR/../Run: [5ikbi] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/winlog0n.exe
O4 - HKCR/../Run: [mq2j0v88lr8b] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/rundl132.exe
O4 - HKCR/../Run: [16jt8321q] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/iexpl0re.exe
O4 - HKLM/../Run: [ASocksrv] SocksA.exe
O4 - HKLM/../Run: [BigDogPath] C:/WINDOWS/VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM/../Run: [System] C:/Program Files/Common Files/System/Updaterun.exe
O4 - HKLM/../Run: [winform] C:/WINDOWS/winform.exe
O4 - HKLM/../Run: [nrauax] C:/WINDOWS/system32/baqftx.exe
D:/autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell/Auto/command=sxs.exe
-----/
E:/autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell/Auto/command=sxs.exe
-----/
F:/autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell/Auto/command=sxs.exe
-----/
O8 - IE右键菜单附加项 : Foxy 下载 - res://C:/Program Files/摩力游下载器/Foxy.exe/download.htm
O8 - IE右键菜单附加项 : Foxy 搜索 - res://C:/Program Files/摩力游下载器/Foxy.exe/search.htm
O21 - SSODL - SysTime(88Dog.Kalendar) - {724C75F1-B757-408D-A50A-4CF99DA35D73} = C:/PROGRA~1/WinKld/WinKld.dll
O21 - SSODL - hydk(Windows hydk Theme) - {7FCA49CC-AC89-473E-98EC-A62AFBDCA32A} = C:/PROGRA~1/gxcj/hydk.dll
O23 - 服务: Investor (Remote Route Service) - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/bxwhj.dll | Microsoft(R) Windows(R) Operating System | 5.1.2600.0 | szdj | Copyright (C) Microsoft Corporation 1990-2000 | 5.1.2600.0 | Microsoft Corporation| ? | szdj | szdj.dll(自动)
O23 - 服务: jafm (Std jafm Service) - C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/bvxe/ofkr.dll,Service -s(自动)
O23 - 服务: Navoct () - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/Program Files/iesnap/navoct.dll | 2007-3-12 10:28:46 | NAVOCT | 1, 0, 1, 1 | NAVOCT Module | Copyright 2006 | 1, 0, 1, 1 | | | NAVOCT | NAVOCT.DLL(自动)
O23 - 服务: SOCEESe (Indexing Data) - C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL,Export 1087(自动)
O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk
SHOWALL Type isn't dowrd
===/
使用ProcView和IceSword终止进程:
C:/WINDOWS/system32/EXPLORER.EXE
C:/WINDOWS/system32/wsctf.exe
C:/WINDOWS/system32/algsrv.exe
C:/WINDOWS/system32/baqftx.exe
C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE
用WinRAR删除d、e、f盘下的 autorun.inf 和 sxs.exe。在c盘下发现 tel.xls.exe。
用HijackThis修复 F2--O21,删除O23
用瑞星卡卡安全助手卸载 O24
卸载:实用搜索
重启电脑到安全模式下
删除文件:
C:/Documents and Settings/Administrator/LOCALS~1/Temp/LgSy0.dll
C:/Documents and Settings/Administrator/LOCALS~1/Temp/Rav20.dll
C:/Documents and Settings/Administrator/LOCALS~1/Temp/winlog0n.exe
C:/Documents and Settings/Administrator/Temp/rundl132.exe
C:/Documents and Settings/Administrator/Temp/iexpl0re.exe
C:/Program Files/Common Files/Microsoft Shared/MSINFO/NewInfo.rxk
C:/Program Files/Common Files/System/Updaterun.exe
C:/WINDOWS/system32/baqftx.dll
C:/WINDOWS/system32/baqftx.exe
c:/windows/system32/bxwhj.dll
c:/windows/system32/EXPLORER.EXE
C:/WINDOWS/SYSTEM32/RUNDLL2000.EXE C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL
C:/WINDOWS/winform.exe
C:/WINDOWS/system32/winform.dll
c:/windows/system32/wsctf.dll
c:/windows/system32/wsctf.exe
C:/WINDOWS/SYSTEM32/WBEM/CZKBM.DLL
FileKan.exe(一般是在C:/WINDOWS/system32下)
SocksA.exe(一般是在C:/WINDOWS/system32下)
删除文件夹:
C:/Documents and Settings/Administrator/Application Data/Foxy
c:/program files/bvxe
c:/program files/gxcj
c:/program files/iesnap
c:/program files/WinKld
C:/Program Files/superutilbar
用开始-->程序-->附件-->系统工具-->磁盘清理 来清理C盘
用WinRAR 清空 c:/windows/prefetch
参考:【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.blogchina.com/2590659.html
来修复:SHOWALL Type isn't dowrd
文件说明符 : D:/test/sxs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 23:25:37
修改时间 : 2007-4-3 23:26:3
访问时间 : 2007-4-4 20:49:25
大小 : 37725 字节 36.861 KB
MD5 : 25f7ddf928dcb04b51987d7e4bdde809
baqftx.exe与此相同。
Kaspersky 报为 Trojan-PSW.Win32.QQPass.se,瑞星 报为 Trojan.PSW.QQPass.rdr
文件说明符 : D:/test/tel.xls.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 2.00
说明 :
版权 :
备注 :
产品版本 : 2.00
产品名称 : FireWall Files
公司名称 : Microsoft Corp.
合法商标 :
内部名称 : test
源文件名 : test.exe
创建时间 : 2007-4-3 23:20:40
修改时间 : 2007-4-3 23:20:52
访问时间 : 2007-4-4 20:49:54
大小 : 69632 字节 68.0 KB
MD5 : 40dbf5d5f83400a1901b9a7f8d294d5e
algsrv.exe与tel.xls.exe相同。
Kaspersky 报为 Trojan.Win32.VB.atg,瑞星 报为 Trojan.VB.vtj
文件说明符 : D:/test/NewInfo.rxk
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:57:40
修改时间 : 2007-4-3 22:57:45
访问时间 : 2007-4-4 20:54:18
大小 : 27301 字节 26.677 KB
MD5 : 69e32435d00cff4f8ca09059e5dc6bfc
Kaspersky 报为 Trojan-PSW.Win32.Delf.qc,瑞星 报为 Trojan.PSW.Liumazi.kr
文件说明符 : D:/test/wsctf.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.2600.2180
说明 : Generic Host service for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 : Generic Host service for Win32 Services
产品版本 : 5.2600.2180
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wsctf
源文件名 : wsctf.exe
创建时间 : 2007-4-3 22:14:24
修改时间 : 2007-4-3 22:14:28
访问时间 : 2007-4-4 20:58:20
大小 : 24576 字节 24.0 KB
MD5 : cbdcf0ab0561540891a3e466147a4ce4
Kaspersky 报为 Virus.Win32.VB.bu,瑞星 报为 Trojan.PSW.SBoy.b
文件说明符 : D:/test/winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:14:3
修改时间 : 2007-4-3 22:14:15
访问时间 : 2007-4-4 21:2:17
大小 : 17920 字节 17.512 KB
MD5 : 72cf3bc3a233ec373303de7a81dd4051
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es,瑞星 报为 Trojan.PSW.OnlineGames.aas
文件说明符 : D:/test/winlog0n.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:11:55
修改时间 : 2007-4-3 22:13:8
访问时间 : 2007-4-4 21:5:10
大小 : 33690 字节 32.922 KB
MD5 : 4cb1851156c0b3f6dda4092462f57222
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kw,瑞星 报为 Trojan.PSW.OnLineGames.abo
文件说明符 : D:/test/iexpl0re.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:12:59
修改时间 : 2007-4-3 22:13:17
访问时间 : 2007-4-4 21:6:58
大小 : 52736 字节 51.512 KB
MD5 : 05366f5d07a2a45b3d076f4a27f21a74
文件说明符 : D:/test/rundl132.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:9:56
修改时间 : 2007-4-3 22:12:10
访问时间 : 2007-4-4 21:16:20
大小 : 33244 字节 32.476 KB
MD5 : dfd16dbc703e1359c22dffaf91251738
文件说明符 : D:/test/Updaterun.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:32:4
修改时间 : 2007-4-3 22:32:16
访问时间 : 2007-4-4 21:28:56
大小 : 36864 字节 36.0 KB
MD5 : 42d61fba39892131e0c81472d291bc61
再分享一下我老师大神的人工智能教程吧。零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow