遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等2

遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等2

endurer 原创
2008-09-08 第1版

HBKernel.sys这个东东以前也曾遇到过，见：

fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等1

http://endurer.bokee.com/6766433.html
http://space.zdnet.com.cn/html/36/177236-1397738.html
http://blog.csdn.net/Purpleendurer/archive/2008/08/08/2788930.aspx

感觉问题不大~

运行FileInfo提取log中红色标记的文件信息，运行bat_do进行打包。

不料bat_do找不到rar.exe，检查发现，D:/Program Files/winrar中的winrar.exe和rar.exe都不见了，并且D:/Program Files/EditPlus 3下的editplus.exe也不见了~

好在电脑中还有WinRAR的安装文件，重新安装了，并用WinRAR检查，发现每个文件夹中都有一个名为wsock32.dll的文件，如：

文件说明符 : D:/tools/wsock32.dll
属性 : -SH-
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2180
说明 : Windows Socket 32-Bit DLL
版权 : C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : wsock32
源文件名 : wsock32.dll
创建时间 : 2008-8-21 9:34:56
修改时间 : 2008-8-21 9:20:54
大小 : 17408 字节 17.0 KB
MD5 : 25f0a1954339694e4bb46fcca41d41c1
SHA1: 657A1268AD4EFAC28C8E97173F5B67B295FF110E
CRC32: 2f50e4fb

（卡巴斯基报为：Worm.Win32.AutoRun.lxv，瑞星报为：Worm.Win32.CnVampire.f）

使用下面的命令逐盘删除：

attrib /s x:/wsock32.dll -h -s
del /s x:/wsock32.dll

其中x为盘符。

用FileInfo 检测，发现进程C:/WINDOWS/System32/debug.exe对应的文件是个假货：

文件说明符 : C:/WINDOWS/System32/debug.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2002-10-7 12:0:0
修改时间 : 2002-10-7 12:0:0
大小 : 20634 字节 20.154 KB
MD5 : 3f1bfe1b1328af93b0c1adf8cc9d84ac
SHA1: A0FB258325E9B75237433F015C81AD34F7D9F217
CRC32: 506a4064

（卡巴斯基报为：Trojan-PSW.Win32.QQPass.dcg，瑞星报为：Trojan.DL.Win32.Mnless.atb）

正宗的应该是：

文件说明符 : C:/WINDOWS/System32/dllcache/debug.exe
属性 : A---
数字签名:Microsoft Corporation
PE文件:否
创建时间 : 2002-10-7 12:0:0
修改时间 : 2002-10-7 12:0:0
大小 : 20634 字节 20.154 KB
MD5 : 6c151a8cc2cbdac06635c38ebf564c19
SHA1: C6D4DF341FB485D944E10ABBF4099869C5E498FA
CRC32: aa41703c

另外，ctfmon.exe、beep.sys等系统文件也被恶意程序文件替换了：

文件说明符 : C:/WINDOWS/system32/ctfmon.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2002-10-7 12:0:0
修改时间 : 2008-9-5 15:31:58
大小 : 368640 字节 360.0 KB
MD5 : c338ff709aa7d081514d9a3c4bfe9c58
SHA1: 12E2502A7061278F9684B4212C47C7B3C14C387D
CRC32: 1d6b1689

（卡巴斯基报为：Trojan.Win32.KillAV.alu）

文件说明符 : C:/WINDOWS/system32/drivers/beep.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2002-10-7 12:0:0
修改时间 : 2008-9-5 16:9:0
大小 : 16256 字节 15.896 KB
MD5 : 17520c1ec38c2b92498be0ac75fa9729
SHA1: 7BCB155B57ADD016C1CEA91E0773BA92097F96D3
CRC32: 253b01e1

（卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.tbnn，DrWeb报为：Trojan.NtRootKit.1469）

这时应该使用sfc /scannow命令来检修系统文件，不过偶偷懒，采用改名替换法来处理。

最要命的是没用HijackThis或卡卡安全助手修复：

F2 - REG: system.ini: UserInit = ＜C:/WINDOWS/system32/Userinit.exe,C:/Program Files/Common Files/System/secuers32.exe＞

就重启电脑，并且鬼使神差地使用高级启动菜单项中的“最后一次正确的配置”项来启动，这下好了，连登陆界面都不显示，更别想进入桌面了。

连带命令提示符的安全模式启动也不行了~

想用Windows安装光盘进入恢复控制台

使用下列命令：

C:/>cd /windows/repair
C:/>copy *.* c:/windows/system32/config

用系统初始安装时的注册表信息文件来覆盖当前注册表信息文件

不料光驱弹不出~

记得硬盘使用的是FAT32文件系统，好不容易找来一张Win 98启动软盘，不料软驱读盘出错~

又没有启动U盘，只好重装系统了~