endurer 原创
2007-04-04 第1版
昨晚,一位网友说,他的电脑工作速度很慢,浏览网页时自动弹广告,让偶帮助检查一下。
让他先用HijackThis(可到http://endurer.ys168.com下载)扫描log传过来一看,估计是Viking了。
让他传了几个可疑文件过来。
同时到江民网站下载了Viking专杀工具传给网友查杀,果然清除了一些。
又将pe_xscan、ProcView(可到http://endurer.ys168.com下载)、IceSword(可到http://endurer.ys168.com下载)传了过去。
通过在线网页分析网友传回的pe_xscan的log,发现可疑项目:
/===
pe_xscan 07-03-17 by Purple Endurer
2007-4-3 22:38:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\WINDOWS\System32\svchost.exe * 892
c:\windows\system32\bxwhj.dll
c:\program files\iesnap\navoct.dll 2007-3-12 10:28:46
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\WINDOWS\system32\EXPLORER.EXE * 1520 2006-10-25 8:32:36
C:\WINDOWS\system32\EXPLORER.EXE 2006-10-25 8:32:36
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-3 11:44:24
C:\WINDOWS\system32\winform.dll 2007-4-3 11:44:26
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\windows\system32\bxwhj.dll
C:\WINDOWS\Explorer.EXE * 1548
C:\PROGRA~1\WinKld\Winkld.dat 2006-4-30 15:18:52
C:\PROGRA~1\gxcj\hydk.nls 2007-4-2 17:45:12
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\Program Files\superutilbar\superutilbar.dll 2007-3-19 9:44:48
C:\Documents and Settings\Administrator\Application Data\Foxy\LinkMaker.dll 2006-12-24 13:34:50
C:\WINDOWS\VM_STI.EXE * 1744 2005-2-28 17:53:4
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\WINDOWS\system32\ctfmon.exe * 1836
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\WINDOWS\system32\rundll32.exe * 288
C:\PROGRA~1\bvxe\ofkr.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\tkpw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\WINDOWS\system32\nvsvc32.exe * 440 2005-12-10 3:6:0
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
c:\PROGRA~1\iesnap\navplay.exe * 2204 2007-3-12 10:28:22
c:\PROGRA~1\iesnap\navplay.exe 2007-3-12 10:28:22
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\Program Files\Internet Explorer\iexplore.exe * 1380 2004-8-17 20:0:0
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\Program Files\superutilbar\superutilbar.dll 2007-3-19 9:44:48
c:\PROGRA~1\iesnap\navpref.dll 2007-3-12 10:28:8
c:\PROGRA~1\iesnap\navseg.dll 2007-3-12 10:28:12
c:\PROGRA~1\iesnap\navneg.dll 2007-3-12 10:28:20
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\WINDOWS\system32\conime.exe * 2764
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\Program Files\QQ2006\QQ.exe * 5340 2006-5-9 17:23:22
C:\WINDOWS\system32\baqftx.dll 2007-4-3 11:44:26
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\Program Files\QQ2006\TIMPlatform.exe * 6124 2006-4-25 16:13:36
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
wsctf.exe * 4508
F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)
O2 - BHO: 实用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:\Program Files\superutilbar\superutilbar.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: 实用搜索工具条2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:\Program Files\superutilbar\superutilbar.dll
O4 - HKCR\..\Run: [BSserver] FileKan.exe
O4 - HKCR\..\Run: [foxy] "C:\Program Files\摩力游下载器\Foxy.exe" -tray
O4 - HKCR\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCR\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCR\..\Run: [5ikbi] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe
O4 - HKCR\..\Run: [mq2j0v88lr8b] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
O4 - HKCR\..\Run: [16jt8321q] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Updaterun.exe
O4 - HKLM\..\Run: [winform] C:\WINDOWS\winform.exe
O4 - HKLM\..\Run: [nrauax] C:\WINDOWS\system32\baqftx.exe
D:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
E:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
F:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
O8 - IE右键菜单附加项 : Foxy 下载 - res://C:\Program Files\摩力游下载器\Foxy.exe/download.htm
O8 - IE右键菜单附加项 : Foxy 搜索 - res://C:\Program Files\摩力游下载器\Foxy.exe/search.htm
O21 - SSODL - SysTime(88Dog.Kalendar) - {724C75F1-B757-408D-A50A-4CF99DA35D73} = C:\PROGRA~1\WinKld\WinKld.dll
O21 - SSODL - hydk(Windows hydk Theme) - {7FCA49CC-AC89-473E-98EC-A62AFBDCA32A} = C:\PROGRA~1\gxcj\hydk.dll
O23 - 服务: Investor (Remote Route Service) - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\WINDOWS\system32\bxwhj.dll Microsoft(R) Windows(R) Operating System 5.1.2600.0 szdj Copyright (C) Microsoft Corporation 1990-2000 5.1.2600.0 Microsoft Corporation ? szdj szdj.dll(自动)
O23 - 服务: jafm (Std jafm Service) - C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\bvxe\ofkr.dll,Service -s(自动)
O23 - 服务: Navoct () - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\Program Files\iesnap\navoct.dll 2007-3-12 10:28:46 NAVOCT 1, 0, 1, 1 NAVOCT Module Copyright 2006 1, 0, 1, 1 NAVOCT NAVOCT.DLL(自动)
O23 - 服务: SOCEESe (Indexing Data) - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\CZKBM.DLL,Export 1087(自动)
O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
SHOWALL Type isn't dowrd
===/
使用ProcView和IceSword终止进程:
C:\WINDOWS\system32\EXPLORER.EXE
C:\WINDOWS\system32\wsctf.exe
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\baqftx.exe
C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE
用WinRAR删除d、e、f盘下的 autorun.inf 和 sxs.exe。在c盘下发现 tel.xls.exe。
用HijackThis修复 F2--O21,删除O23
用瑞星卡卡安全助手卸载 O24
卸载:实用搜索
重启电脑到安全模式下
删除文件:
C:\Documents and Settings\Administrator\LOCALS~1\Temp\LgSy0.dll
C:\Documents and Settings\Administrator\LOCALS~1\Temp\Rav20.dll
C:\Documents and Settings\Administrator\LOCALS~1\Temp\winlog0n.exe
C:\Documents and Settings\Administrator\Temp\rundl132.exe
C:\Documents and Settings\Administrator\Temp\iexpl0re.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\Program Files\Common Files\System\Updaterun.exe
C:\WINDOWS\system32\baqftx.dll
C:\WINDOWS\system32\baqftx.exe
c:\windows\system32\bxwhj.dll
c:\windows\system32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\CZKBM.DLL
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winform.dll
c:\windows\system32\wsctf.dll
c:\windows\system32\wsctf.exe
C:\WINDOWS\SYSTEM32\WBEM\CZKBM.DLL
FileKan.exe(一般是在C:\WINDOWS\system32下)
SocksA.exe(一般是在C:\WINDOWS\system32下)
删除文件夹:
C:\Documents and Settings\Administrator\Application Data\Foxy
c:\program files\bvxe
c:\program files\gxcj
c:\program files\iesnap
c:\program files\WinKld
C:\Program Files\superutilbar
用开始-->程序-->附件-->系统工具-->磁盘清理 来清理C盘
用WinRAR 清空 c:\windows\prefetch
参考:【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.blogchina.com/2590659.html
来修复:SHOWALL Type isn't dowrd
文件说明符 : D:\test\sxs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 23:25:37
修改时间 : 2007-4-3 23:26:3
访问时间 : 2007-4-4 20:49:25
大小 : 37725 字节 36.861 KB
MD5 : 25f7ddf928dcb04b51987d7e4bdde809
baqftx.exe与此相同。
Kaspersky 报为 Trojan-PSW.Win32.QQPass.se,瑞星 报为 Trojan.PSW.QQPass.rdr
文件说明符 : D:\test\tel.xls.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 2.00
说明 :
版权 :
备注 :
产品版本 : 2.00
产品名称 : FireWall Files
公司名称 : Microsoft Corp.
合法商标 :
内部名称 : test
源文件名 : test.exe
创建时间 : 2007-4-3 23:20:40
修改时间 : 2007-4-3 23:20:52
访问时间 : 2007-4-4 20:49:54
大小 : 69632 字节 68.0 KB
MD5 : 40dbf5d5f83400a1901b9a7f8d294d5e
algsrv.exe与tel.xls.exe相同。
Kaspersky 报为 Trojan.Win32.VB.atg,瑞星 报为 Trojan.VB.vtj
文件说明符 : D:\test\NewInfo.rxk
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:57:40
修改时间 : 2007-4-3 22:57:45
访问时间 : 2007-4-4 20:54:18
大小 : 27301 字节 26.677 KB
MD5 : 69e32435d00cff4f8ca09059e5dc6bfc
Kaspersky 报为 Trojan-PSW.Win32.Delf.qc,瑞星 报为 Trojan.PSW.Liumazi.kr
文件说明符 : D:\test\wsctf.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.2600.2180
说明 : Generic Host service for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 : Generic Host service for Win32 Services
产品版本 : 5.2600.2180
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wsctf
源文件名 : wsctf.exe
创建时间 : 2007-4-3 22:14:24
修改时间 : 2007-4-3 22:14:28
访问时间 : 2007-4-4 20:58:20
大小 : 24576 字节 24.0 KB
MD5 : cbdcf0ab0561540891a3e466147a4ce4
Kaspersky 报为 Virus.Win32.VB.bu,瑞星 报为 Trojan.PSW.SBoy.b
文件说明符 : D:\test\winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:14:3
修改时间 : 2007-4-3 22:14:15
访问时间 : 2007-4-4 21:2:17
大小 : 17920 字节 17.512 KB
MD5 : 72cf3bc3a233ec373303de7a81dd4051
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es,瑞星 报为 Trojan.PSW.OnlineGames.aas
文件说明符 : D:\test\winlog0n.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:11:55
修改时间 : 2007-4-3 22:13:8
访问时间 : 2007-4-4 21:5:10
大小 : 33690 字节 32.922 KB
MD5 : 4cb1851156c0b3f6dda4092462f57222
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kw,瑞星 报为 Trojan.PSW.OnLineGames.abo
文件说明符 : D:\test\iexpl0re.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:12:59
修改时间 : 2007-4-3 22:13:17
访问时间 : 2007-4-4 21:6:58
大小 : 52736 字节 51.512 KB
MD5 : 05366f5d07a2a45b3d076f4a27f21a74
文件说明符 : D:\test\rundl132.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:9:56
修改时间 : 2007-4-3 22:12:10
访问时间 : 2007-4-4 21:16:20
大小 : 33244 字节 32.476 KB
MD5 : dfd16dbc703e1359c22dffaf91251738
文件说明符 : D:\test\Updaterun.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:32:4
修改时间 : 2007-4-3 22:32:16
访问时间 : 2007-4-4 21:28:56
大小 : 36864 字节 36.0 KB
MD5 : 42d61fba39892131e0c81472d291bc61
没有评论:
发表评论