Worm.Win32.Diskgen.gen/磁碟机也捎带广告?
endurer 原创
2008-02-19 第1版
昨天一位朋友说他的电脑中毒了,不定期弹广告,系统反应很慢,请偶帮忙检修。
打开任务管理器检查进程,发现有2个alg.exe,2个lsass.exe,用户名分别是system和user,终止属于user的,不料电脑自动重启~
那偶就顺势选择使用带网络连接的的安全模式来启动,不料蓝屏~
只好以正常模式启动,不过在启动过程中一直按下Shift键……
进入桌面后,下载 pe_xscan 扫描 log,发现如下可疑项:
/===
pe_xscan 08-01-29 by Purple Endurer
2008-2-19 17:58:14
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O2 - BHO TENCENT BROWSER HELPER - {0C7C23EF-A848-485B-873C-0ED954731014} -C:/PROGRAM FILES/TENCENT/SSPLUS/SADDR.DLL
O4 - HKCU/../RUNONCE: [MYAPP] 1
O4 - Global Startup: ~.exe.65140.exe -> Invalid lnk file
O4 - Global Startup: ~.exe.25207046.exe -> Invalid lnk file
O4 - Global Startup: ~.exe.64125.exe -> Invalid lnk file
C:/autorun.inf
/-----
[AutoRun]
open=pagefile.pif
shell/open=打开(&O)
shell/open/Command=pagefile.pif
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=pagefile.pif
-----/
D:/autorun.inf
/-----
[AutoRun]
open=pagefile.pif
shell/open=打开(&O)
shell/open/Command=pagefile.pif
shell/open/Default=1
shell/explore=资源管理器(&X)
shell/explore/Command=pagefile.pif
-----/
O11 - IE扩展选项组:TBH (中文搜搜) =
O18 - 协议: IC32PP() - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} -C:/WINDOWS/WC98PP.DLL
O23 - 服务: COM+ EVENT SYSTEM LOG (COM+ EVENT SYSTEM LOG) -C:/PROGRAM FILES/COMMON FILES/MICROSOFT SHARED/MSINFO/TWUNK_64.AAA | 2007-8-26 21:53:26(自动)
===/
前面发现的以user用户运行的alg.exe和lsass.exe进程没有了,搜索检查发现:
文件说明符 : C:/WINDOWS/system32/drivers/alg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:17:10
修改时间 : 2008-2-18 16:17:12
访问时间 : 2008-2-18 0:0:0
大小 : 18829 字节 18.397 KB
MD5 : e6b26c23fda20664844d870a662190da
SHA1: 30930C99E99E108AC8B06D19DB9D2056A552DD82
CRC32: ad1b25ac
Kaspersky 报为 Trojan-Downloader.Win32.Agent.iqj
主 题: 病毒上报邮件分析结果-流水单号:20080220135301474033
发件人: <send@rising.net.cn> 发送时间:2008.02.20 14:55
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:alg.exe
病毒名:Trojan.DL.Win32.Mnless.yxx
您所上报的病毒文件将在瑞星2008的20.32.21版本(瑞星2007的19.63.21版本)中处理解决。
文件说明符 : C:/WINDOWS/system32/Com/lsass.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:11:36
修改时间 : 2008-2-18 16:12:14
访问时间 : 2008-2-19 0:0:0
大小 : 95744 字节 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac
Kaspersky 报为 Virus.Win32.Xorer.dr
看到O4中的autorun.inf 和 pagefile.pif,不由联想到最近流行的病毒Worm.Win32.Diskgen.gen/磁碟机,用WinRAR检查c:/windows/system32/com,果然发现了:
文件说明符 : C:/WINDOWS/system32/Com/netcfg.000
属性 : -SH-
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : ifObj ActiveX Control Module
版权 : Copyright (C) 2007
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : ifObj ActiveX Control Module
公司名称 : 506
合法商标 :
内部名称 : ifObj
源文件名 : ifObj.OCX
创建时间 : 2008-2-18 16:15:9
修改时间 : 2008-2-18 16:15:10
访问时间 : 2008-2-19 0:0:0
大小 : 16384 字节 16.0 KB
MD5 : f527f2633493d985fb77a348c8e9e723
SHA1: 83A3FBFA3EBA9A435399707F7B83EDA4B93D69EC
CRC32: d39b8df2
Kaspersky 报为 Virus.Win32.Xorer.du
文件说明符 : C:/WINDOWS/system32/Com/netcfg.dll
属性 : -SH-
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : ifObj ActiveX Control Module
版权 : Copyright (C) 2007
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : ifObj ActiveX Control Module
公司名称 : 506
合法商标 :
内部名称 : ifObj
源文件名 : ifObj.OCX
创建时间 : 2008-2-18 16:11:37
修改时间 : 2008-2-18 16:15:10
访问时间 : 2008-2-19 0:0:0
大小 : 16384 字节 16.0 KB
MD5 : f527f2633493d985fb77a348c8e9e723
SHA1: 83A3FBFA3EBA9A435399707F7B83EDA4B93D69EC
CRC32: d39b8df2
Kaspersky 报为 Virus.Win32.Xorer.du
文件说明符 : C:/WINDOWS/system32/Com/SMSS.EXE
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:11:34
修改时间 : 2008-2-18 16:15:10
访问时间 : 2008-2-18 0:0:0
大小 : 40960 字节 40.0 KB
MD5 : 2c5834f823066354d9e92396ecaca50d
SHA1: 37647491C08AA2EC6D07CF805B0EABD978869F11
CRC32: 18ec1d71
Kaspersky 报为 Virus.Win32.Xorer.dt,瑞星报为 报为 Worm.Win32.DiskGen.cy
到 http://purpleendurer.ys168.com 下载FileInfo和bat_do,用FileInfo提取文件信息,用bat_do打包备份、延时删除。
文件说明符 : C:/pagefile.pif
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:12:22
修改时间 : 2008-2-18 16:12:14
访问时间 : 2008-2-18 0:0:0
大小 : 95744 字节 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac
Kaspersky 报为 Virus.Win32.Xorer.dr
文件说明符 : C:/Documents and Settings/All Users/「开始」菜单/程序/启动/~.exe.25207046.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:12:19
修改时间 : 2008-2-18 16:12:14
访问时间 : 2008-2-18 0:0:0
大小 : 95744 字节 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac
Kaspersky 报为 Virus.Win32.Xorer.dr
文件说明符 : C:/Documents and Settings/All Users/「开始」菜单/程序/启动/~.exe.64125.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-2-18 16:15:12
修改时间 : 2008-2-18 16:12:14
访问时间 : 2008-2-18 0:0:0
大小 : 95744 字节 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac
Kaspersky 报为 Virus.Win32.Xorer.dr
文件说明符 : C:/Documents and Settings/All Users/「开始」菜单/程序/启动/~.exe.65140.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-18 17:15:37
修改时间 : 2008-2-18 17:15:38
访问时间 : 2008-2-18 0:0:0
大小 : 95744 字节 93.512 KB
MD5 : 13949cf3910b0d255439136ec1b6cd78
SHA1: 4D873D332FEDDEF66B90940CA18418FE91833EA7
CRC32: 652ce9ac
Kaspersky 报为 Virus.Win32.Xorer.dr
卸载中文搜搜
到 http://endurer.ys168.com 下载 HijackThis,扫描并修复 O2、O4、O18、O23项。
用WinRAR删除 C盘和D盘中的autorun.inf 和 pagefile.pif,Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。
下载瑞星DiskGen家族专杀工具(http://it.rising.com.cn/Channels/Service/2008-02/1201874341d45273.shtml)全面查杀
偶就先回家了~
后来朋友在Messenger上说现在电脑不弹广告了~
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
