endurer 原创
2007-04-01 第2版 补充了Kasersky对一些可疑文件的反应
2007-04-01 第1版
前两天,一位网友的电脑的瑞星报告发现RootKit.Agent.va,文件名为ynqcq.sys,但清除不了,又使用一个木马查杀软件发现有广告程序,因为是未注册,无法清除。
瑞星的登录前扫描对付rootkit是不错的,可惜这位网友使用了自动登录Windows……
用 pe_xscan 扫描日志,发现如下可疑项(有了分析网页,效率提高了很多):
/---
pe_xscan 07-03-17 by Purple Endurer
2007-3-29 15:17:54
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:\WINDOWS\System32\svchost.exe * 916 2005-8-14 5:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? svchost.exe svchost.exe
c:\progra~1\common~1\lgqmidb\lgqmidb.dll 2007-3-25 15:2:31 2, 8, 0, 1 2, 8, 0, 1
C:\WINDOWS\Explorer.EXE * 1260 2005-8-14 5:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Windows Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? explorer EXPLORER.EXE
C:\WINDOWS\system32\wswci.dll
C:\WINDOWS\system32\rundll32.exe * 164 2005-8-14 5:0:0 Microsoft(R) Windows(R) Operating System 5.1.2600.2180 Run a DLL as an App (C) Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? rundll RUNDLL.EXE
C:\PROGRA~1\nund\xexq.dll 2007-3-25 14:58:29 AdDm 4, 1, 0, 4 AdDm Copyright ? 2006 4, 1, 0, 4 AdDm AdDm.exe
C:\PROGRA~1\nund\cjcv.dll 2007-3-25 14:58:29 stdvote 1, 0, 0, 6 stdvote Copyright ? 2006 1, 0, 0, 6 stdvote stdvote.dll
C:\WINDOWS\system32\zlglfef.exe * 2068 2005-3-25 14:59:0
C:\WINDOWS\system32\zlglfef.exe 2005-3-25 14:59:0
O4 - HKLM\..\Policies\Explorer\Run: [sys41] C:\Program Files\Common Files\d1216.exe
O4 - HKLM\..\Policies\Explorer\Run: [sys42] C:\Documents and Settings\NetworkService\Local Settings\History\d16704.exe
O4 - Global Startup: sys41.lnk -> C:\Program Files\Common Files\d1216.exe
O4 - Global Startup: sys42.lnk ->
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\restrictions 存在 IE或Internet选项可能受到限制
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制
O23 - 服务: dump_wmimmc (dump_wmimmc) - C:\WINDOWS\system32\drivers\dump_wmimmc.sys(手动)
O23 - 服务: fgqmcdb () - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\PROGRA~1\COMMON~1\lgqmidb\lgqmidb.dll 2007-3-25 15:2:31 2, 8, 0, 1 2, 8, 0, 1 (自动)
O23 - 服务: ndcia (ndcia) - C:\WINDOWS\system32\drivers\ndcia.sys(自动)
O23 - 服务: NPF (Netgroup Packet Filter) - system32\drivers\npf.sys NPF Driver 3, 0, 0, 18 NPF Driver - TME extensions Copyright ? 2003 3, 0, 0, 18 Politecnico di Torino NPF + TME NPF.RC(手动)
O23 - 服务: npkcrypt (npkcrypt) - C:\WINDOWS\system32\qqedit\npkcrypt.sys 2006-12-7 18:17:18 nProtect KeyCrypt Driver 4. 0. 0. 0 nProtect KeyCrypt Driver Copyright (C) INCA Internet. 2000-2005 2005. 6. 22. 1 INCA Internet Co., Ltd. ? npkcrypt.sys npkcrypt.sys(自动)
O23 - 服务: NPPTNT2 (NPPTNT2) - C:\WINDOWS\system32\npptNT2.sys 2005-1-4 17:43:8 nProtect NPSC Kernel Mode Driver for NT 2005, 1, 5, 1 nProtect NPSC Kernel Mode Driver for NT Copyright ? 2000-2005 INCA Internet 2005, 1, 5, 1 INCA Internet Co., Ltd. nProtect npptNT2 npptNT2.sys(手动)
O23 - 服务: pxxzqo84 (pxxzqo84) - System32\DRIVERS\pxxzqo84.sys(禁用)
O23 - 服务: romman (romman) - C:\WINDOWS\system32\drivers\romman.sys(自动)
O23 - 服务: stdio (stdio) - C:\WINDOWS\system32\drivers\stdio.sys 2007-3-25 16:13:0 Microsoft(R) Windows(R) Operating System 5.1.2600.2180 stdio Manager Library (C) Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? stdio.DLL stdio.DLL(自动) Kaspersky 报为 Trojan.Win32.Agent.afb
O23 - 服务: vssl (Std vssl Service) - C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\nund\xexq.dll,Service -s(自动)
O23 - 服务: ynqcq (ynqcq) - System32\DRIVERS\ynqcq.sys(引导)
---/
下载Dr.Web CureIt扫描,只清除了d1216.exe等几个d开的恶意文件。
用IceSword强制删除了ynqcq.sys,stdio.sys及其在注册表中的服务项。
stdio.sys比较牛,改名后又自动恢复为原名,注册表中的服务项在regedit中也删不了。
另一个牛文件是C:\WINDOWS\system32\wswci.dll,Kaspersky 报为 Trojan-Downloader.Win32.Agent.bbb,Windows不存认这个文件存在,连文件时间都无法获取,还好用IceSword复制了一个,传了回来,再强制删除。本来先用IceSword把它从内存中卸载掉更好,不过远程使用IceSword太累了……
在c:\windows\system32下发现了一些可疑文件:realsled.exe(Kaspersky报为not-a-virus:AdWare.Win32.Agent.bs),_ao1.exe(Kaspersky报为Trojan-Downloader.Win32.Agent.bld),baidu.dll,ntdl1.dll(Kaspersky报为not-a-virus:AdWare.Win32.Agent.bs)等可疑文件。
用HijackThis修复,其中O4 - HKLM\..\Policies\Explorer\Run这两个是HijackThis 1.99.1不能修复的,可以用瑞星卡卡安全助手来取消。
C:\PROGRA~1\COMMON~1\lgqmidb、C:\PROGRA~1\nund这两个文件夹中的东东很可疑
C:\PROGRA~1\nund\xexq.dll的内部名是AdDm.exe,Ad download and manager(广告下载管理器)?
C:\PROGRA~1\nund\cjcv.dll内部名是stdvote.dll,与广告程序stdstub的一个文件同名……
网友却说是系统备份的东东,没处理……
结果重启电脑后,那个木马查杀软件仍然报告发现广告程序……让网友用IceSword去删除这两个文件夹……
没有评论:
发表评论