endurer 原创
2006-11-30 第1版
一位网友的电脑,IE浏览器首页被强制设置为www.6781.com,让偶帮忙检修。
到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。
在用 HijackThis 扫描 log,生成启动项列表,用 ProcView 导出的系统进程列表,传回来。
在 HijackThis 扫描的 log发现如下可疑项:
/-------
Logfile of HijackThis v1.99.1
Scan saved at 17:58:56, on 2006-11-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/Program Files/Common Files/System/Update.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - G:/WINDOWS/system32/SCIntruder.dll
O4 - HKLM/../Run: [System] G:/Program Files/Common Files/System/Update.exe
O4 - HKLM/../Run: [RavAV] G:/WINDOWS/RavMonE.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
-------/
在 ProcView 导出的系统进程列表中发现下列可疑项目:
/-------
Windows XP (5.1.2600 Service Pack 2)
2006-11-30 18:32:15进程列表
G:/WINDOWS/System32/svchost.exe
g:/windows/system32/vpgqhi34.dll
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL
G:/WINDOWS/RavMonE.exe
G:/WINDOWS/RavMonE.exe
-------/
在 HijackThis 生成的启动项列表中发现如下可疑服务:
/-------
StartupList report, 2006-11-30, 18:39:57
StartupList version: 1.52.2
Started from : G:/tools/HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Enumerating Windows NT/2000/XP services
00: /SystemRoot/System32/drivers/8590312.sys (system)
108375: System32/drivers/108375.sys (system)
63090: System32/drivers/63090.sys (system)
a0: /SystemRoot/System32/drivers/108375.sys (system)
paraudio: /??/G:/WINDOWS/system32/drivers/paraudio.sys (autostart)
Network IPSEC Connections: G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL,Export 1087 (autostart)
<endurer注:Windows系统有个内置服务:IPSEC Services: %SystemRoot%/system32/lsass.exe (autostart),不要弄混了>
-------/
用 ProcView 把
/-------
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/RavMonE.exe
-------/
把包传回来后终止它们。忘记把
/-------
g:/windows/system32/vpgqhi34.dll
G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL
-------/
打包了,汗!
刚用WinRAR找到
/-------
G:/Documents and Settings/user/Local Settings/Temp/jh.exe
G:/Program Files/Common Files/System/Update.exe
G:/WINDOWS/RavMonE.exe
-------/
打包传回来,网友就下班了。
RavMonE.exe 采用Microsoft Visual C++ 7.0 Method2开发。
/----------
修改时间 : 2001-8-4 1:1:48
大小 : 3515723 字节 3.361 MB
MD5 : 3efdfddfffe5cf4ad40c5368c336a702
----------/
Kaspersky 报为 Worm.Win32.RJump.a,瑞星报为 Worm.Snake.a。
SCIntruder.dll 采用nSPack 1.3 -> North Star/Liu Xing Ping加壳。
/----------
修改时间 : 2006-11-17 17:30:34
大小 : 104960 字节 102.512 KB
MD5 : d3c0bbe879ed2acf5a4d519e7121da91
----------/
Kaspersky 报为 not-a-virus:AdWare.Win32.NewWeb.e,瑞星报为 Trojan.Spy.Neweb.b。
Update.exe
/----------
修改时间 : 2004-8-4 0:52:20
大小 : 143360 字节 140.0 KB
MD5 : 136e4dceb6d327b337fa44affb376953
----------/
Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.od,瑞星报为 Trojan.DL.QQHelper.eoq。
rundllfromwin2000.exe 采用Microsoft CAB SFX module加壳。
/----------
语言 : 中文(中国)
文件版本 : 5.00.2134.1
说明 : Run a DLL as an App
版权 : Copyright (C) Microsoft Corp. 1981-1999
备注 :
产品版本 : 5.00.2134.1
产品名称 : Microsoft(R) Windows (R) 2000 Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : rundll
源文件名 : RUNDLL.EXE
修改时间 : 2004-8-4 0:52:20
大小 : 10240 字节 10.0 KB
MD5 : 4936a6954ed59700a3c706f9094685ee
----------/
jh.exe 采用Microsoft Visual Basic 5.0 / 6.0开发
/----------
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : JH
公司名称 :
合法商标 :
内部名称 : jh
源文件名 : jh.exe
创建时间 : 2006-11-30 22:25:28
修改时间 : 2006-8-16 11:16:2
访问时间 : 2006-11-30 22:26:51
大小 : 49152 字节 48.0 KB
MD5 : b3975e60b7db0df8f334f29d62d01605
----------/