今天上午,一位同事的电脑出现登录Windows后自动注销的故障,用 WinPE 检查发现c:/windows/system32/userinit.exe丢失,从其它电脑中复制了一个userinit.exe过来,电脑恢复正常。
下午这台电脑又出现了问题:QQ可以正常登录,但打不开网页。
检查IE加载项,发现下面pe_xscan扫描log中的O2项,将它们禁用后可以打开网页了,但主页被恶意修改为:hxxp://www.9348.cn/?205471
使用电脑中原有的 pe_xscan 扫描log 并分析,发现如下可疑项(进程模块部分有省略):
pe_xscan 09-06-21 by Purple Endurer
2009-10-12 15:50:21
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
正常模式
[System Process]* 0
C:/WINDOWS/system32/08223B03.dll | 2009-10-10 19:0:52
C:/WINDOWS/system32/QQyQ7452eAVkMqdNR.inf | 2009-10-12 8:59:17
C:/WINDOWS/system32/PERrGx5DkqSbQdwauCRQH.dll | 2009-10-10 18:59:17
C:/WINDOWS/system32/svchost.exe* 1008 | 2008-4-14 20:0:0 | Microsoft? Windows? Operating System | 5.1.2600.5512 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.5512 (xpsp.080413-2111) | Microsoft Corporation| ? | svchost.exe | svchost.exe
C:/WINDOWS/system32/COMRes.dll | 2009-10-10 18:59:9
C:/WINDOWS/Temp/Explorer.exe * 1868 | 2009-10-10 20:13:6
C:/WINDOWS/system32/scvhost.exe * 548 | 2009-10-10 20:9:30
C:/WINDOWS/system32/scvhost.exe * 560 | 2009-10-10 20:9:30
C:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/Content.IE5/JIUZ7HI5/xx1[1].exe * 652 | 2009-10-12 15:18:12 | dfdf | 4.05.0005| ?| ? | 4.05.0005 | dfdf| ? | Mode8 | Mode8.exe
F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe,> | 2009-10-12 8:56:38
O2 - BHO - {0010BB0C-2F85-46C3-B06A-0F87BB08646C} = .dll
O2 - BHO BrowserHelper.CBrowserHelper - {3AC4BF88-8BEB-4B87-AFBC-D090AB40B812} = C:/WINDOWS/system32/SoundxVolumns.dll | 2009-10-12 8:57:36 | BrowserHelper | 1.00| ?| ? | 1.00 | Lenovo (Beijing) Limited| ? | BrowserHelper | BrowserHelper.dll
O4 - HKLM/../run: [360Soft] C:/WINDOWS/system32/scvhost.exe
O4 - HKLM/../run: [RsTray] C:/WINDOWS/system32/scvhost.exe
C:/autorun.inf
/-----
[AutoRun]
open= recycle.{645FF040-5081-101B-9F08-00AA002F954E}/kav32.exe
shell/open= 打开 (&O)
shell/open/Command= recycle.{645FF040-5081-101B-9F08-00AA002F954E}/kav32.exe
shell/explore= 资源管理器 (&X)
shell/explore/Command= recycle.{645FF040-5081-101B-9F08-00AA002F954E}/kav32.exe
-----/
O23 - 服务: AsyncMac (RAS Asynchronous Media Driver) - system32/DRIVERS/asyncmac.sys | 2009-10-12 15:15:44(手动)
O23 - 服务: NXD (NXD Service) - C:/WINDOWS/system32/NXD.exe (自动)
O23 - 服务: sbgsz (sbgsz) - C:/WINDOWS/system32/drivers/sphgp.sys (引导)
O23 - 服务: pcidump (pcidump) - C:/WINDOWS/system32/drivers/pcidump.sys (引导)
O24 - ShlExecHook: [2] - {93DA1E7D-7C46-4F90-8674-EC90511FCA72} = C:/WINDOWS/system32/CDuAUVkGy9.dll
O24 - ShlExecHook: [2] - {1719B301-B494-4185-9379-242461F9CF02} = C:/WINDOWS/system32/BtmBAnd89jc9PsPq5EKNj.inf
O24 - ShlExecHook: [7] - {CD478099-014D-4B3A-A4BB-B518F1019BC7} = C:/WINDOWS/system32/SCEVFJRCmaB7.dll
O24 - ShlExecHook: [B] - {827E2FB4-1047-43DE-848D-E12BB0C97AAB} = C:/WINDOWS/Tasks/SbrmpxjdCrgRAFhz4gHh.inf
O24 - ShlExecHook: [F] - {2EF0D734-21FD-4225-A1A2-BCD296182AAF} = C:/WINDOWS/system32/2EF0D734.dll
O24 - ShlExecHook: [8] - {AA5D8D4C-4925-4E47-98F9-A79E465C81C8} = C:/WINDOWS/Downloaded Program Files/Es4sCmxdCqnrzaQ6GZrj.cur
O24 - ShlExecHook: [3] - {51716C09-6B08-4CCF-B526-718E912C0573} = C:/WINDOWS/system32/PERrGx5DkqSbQdwauCRQH.dll | 2009-10-10 18:59:17
O24 - ShlExecHook: [E] - {6049BC02-7EDA-4C41-B4AB-D5398607C39E} = C:/WINDOWS/Tasks/yGfdVUegEQm9fhY5rnN.inf
O24 - ShlExecHook: [9] - {84639C2D-CD75-4081-B515-329AFCECBF19} = C:/WINDOWS/Downloaded Program Files/SjRjQgREDp3P8B4rEEg.cur
O24 - ShlExecHook: [6] - {526EB425-7F56-4773-8D70-B8E45AA8E2B6} = C:/WINDOWS/Downloaded Program Files/WUstNjhyfQfpv8PQbC.cur
O24 - ShlExecHook: [D] - {DD8A574E-DFEC-4B02-9465-64692491072D} = C:/WINDOWS/Downloaded Program Files/dScKUgK2NYg8Uar5xyA9.cur
O24 - ShlExecHook: [7] - {87DE8A1A-96C5-4420-B222-EF998F697CE7} = C:/WINDOWS/system32/2exJW3dsaTgWrf5uAPadmHN.inf
O24 - ShlExecHook: [9] - {C07B914B-C164-42D2-9838-1422C3F70D99} = C:/WINDOWS/system32/BPRBASgvesMzHRfu3AfB.inf
O24 - ShlExecHook: [5] - {F181F067-7046-4DCB-993F-200990736305} = C:/WINDOWS/Downloaded Program Files/sZaeAC74EzXJeVeJu6p.cur
O24 - ShlExecHook: [1] - {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} = C:/WINDOWS/fonts/A97CRaCB.fon
O24 - ShlExecHook: [C] - {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} = C:/WINDOWS/system32/FsmBY3kmWnAG5gRbwGgU.inf
O24 - ShlExecHook: [8] - {B59F0A61-EF3E-4A2B-9E3A-4A84EDDF2308} = C:/WINDOWS/Downloaded Program Files/AnXnubyMnv58c9vaECWX.cur
O24 - ShlExecHook: [}] - {8A6A5B34-D995-4C5D-9338-B5E264B4A87} = C:/WINDOWS/system32/nXe2grrKNzF9dxYKmqg.inf
O24 - ShlExecHook: [7] - {74DA2FEC-F68F-4DC7-9A45-9174AC044427} = C:/WINDOWS/system32/z6FVkEF47huPzgaXee.inf
O24 - ShlExecHook: [1] - {11FDB6D4-166A-47BF-A0F8-A09DABA75FC1} = C:/WINDOWS/Tasks/CgbYR44s5jCmgAd6ar.inf
O24 - ShlExecHook: [9] - {7938BD2F-0143-4C46-991C-71069712D9D9} = C:/WINDOWS/system32/DMvJFcDsGe5Kccsmc6gZFjB.inf | 2009-10-10 19:0:30
O24 - ShlExecHook: [3] - {9C20D654-5AF8-4DB7-A125-1A17D7065C73} = C:/WINDOWS/system32/QQyQ7452eAVkMqdNR.inf | 2009-10-12 8:59:17
O24 - ShlExecHook: [B] - {4F5EEDE5-1687-49D2-8A17-FF0B454FB37B} = C:/WINDOWS/system32/qzp3jTZCSfSh.dll
O24 - ShlExecHook: [0] - {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} = C:/WINDOWS/system32/ndxq9awMc.dll
O24 - ShlExecHook: [E] - {08223B03-1B38-4A33-A83A-A4D3CC1D6E4E} = C:/WINDOWS/system32/08223B03.dll | 2009-10-10 19:0:52
O24 - ShlExecHook: [C] - {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} = C:/WINDOWS/system32/122B901E.dll
O24 - ShlExecHook: [A] - {36AC68E6-0C26-4D39-B98E-54B49DAB6BAA} = C:/WINDOWS/system32/dhDhwS7fFW.dll
O24 - ShlExecHook: [5] - {B9D0F4D7-C809-4C27-9CB4-63201DFB3D05} = C:/WINDOWS/Tasks/c2nH4numz9knY5zqnC.inf
O24 - ShlExecHook: [D] - {594EFEFB-4932-421C-9C83-A6BEB868E52D} = C:/WINDOWS/fonts/acCjngH97w.fon
O24 - ShlExecHook: [E] - {3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE} = C:/WINDOWS/system32/W8MvNsbGCCW52XyxV8wQ.inf
O24 - ShlExecHook: [2] - {335A9BAE-19FA-42F2-AFD2-20C3275EF392} = C:/WINDOWS/system32/qfK6YS52MyExkxpwMDmHq.inf | 2009-10-10 20:12:20
O29 - HKCU-Start Page = hxxp://www.9348.cn/?205471
O29 - HKLM-Start Page = hxxp://www.9348.cn/?205471
病毒替换了不少系统文件,而电脑中的dllcache文件夹是空的,于是运行sfc /scannow 检修,出现错误信息:指定的错误代码是 0x000006ba [RPC 服务器不可用]。
打开注册表编辑器regedit,在
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon
的右边找到 SfcDisable,把值改为0,重新启动可以就OK了。
当系统发现异常系统文件,提示插入SP3的光盘时,手头上却没有这种光盘……
附部分病毒样本信息:
文件说明符 : C:/recycle.{645FF040-5081-101B-9F08-00AA002F954E}/kav32.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:3:24
修改时间 : 2009-10-10 20:9:30
大小 : 30568 字节 29.872 KB
MD5 : 221f69cd310b20e0a148257dfafed2f5
SHA1: 737E3323C979AC82345CFB5DF7FAF115B8AADF87
CRC32: 8e8f8c5d
Kaspersky 报为 Trojan-Downloader.Win32.Geral.cqg,瑞星 报为 Worm.Win32.Autorun.smy
C:/WINDOWS/system32/scvhost.exe 同 kav32.exe
文件说明符 : c:/documents and settings/administrator/local settings/temporary internet files/content.ie5/jiuz7hi5/xx1[1].exe
属性 : A---
数字签名:123.cn
PE文件:是
语言 : 中文(中国)
文件版本 : 4.05.0005
产品版本 : 4.05.0005
产品名称 : dfdf
公司名称 : dfdf
内部名称 : Mode8
源文件名 : Mode8.exe
创建时间 : 2009-10-12 15:16:56
修改时间 : 2009-10-12 15:18:12
大小 : 65260 字节 63.748 KB
MD5 : 558df6494d2571f9154b54f01759f0ab
SHA1: D98D336B64C632AB92A371B00BDE9E63FA8846EE
CRC32: 54f36926
Kaspersky 报为 Trojan-PSW.Win32.QQFish.cw
文件说明符 : c:/windows/system32/userinit.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 8:56:38
修改时间 : 2004-8-17 12:0:0
大小 : 23552 字节 23.0 KB
MD5 : e93566a2d7e84951cc2a6c28dffc2303
SHA1: 7896EBE6117572B050DFD99E72EA300179CC76E4
CRC32: fe0994ed
Kaspersky 报为 Trojan-Downloader.Win32.Geral.aot,瑞星 报为 Trojan.DL.Win32.Mnless.eds
文件说明符 : C:/WINDOWS/system32/drivers/AsyncMac.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 15:15:43
修改时间 : 2009-10-12 15:15:44
大小 : 4686 字节 4.590 KB
MD5 : cade95effeafaa8352555407470fa546
SHA1: 6699DCD5BC993CE733F6158861EBBC7C53899808
CRC32: b05a9370
Kaspersky 报为 Trojan-Downloader.Win32.Geral.ayn,瑞星 报为 Packer.Win32.MimiSys.a
文件说明符 : C:/WINDOWS/system32/comres.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-10-10 18:59:9
大小 : 11264 字节 11.0 KB
MD5 : a67660c1ab363f3eca5278527d5d62a7
SHA1: 57C8D2EB033494DEF01E9DACFF294EC89D441F91
CRC32: ee50a2f1
Kaspersky 报为 Trojan-GameThief.Win32.OnLineGames.vrky,瑞星 报为 Trojan.PSW.Win32.GameOnline.fct
文件说明符 : C:/WINDOWS/system32/PERrGx5DkqSbQdwauCRQH.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:59:17
修改时间 : 2009-10-10 18:59:17
大小 : 18944 字节 18.512 KB
MD5 : d97f4ea285959ec6f8a7c6ac15560bac
SHA1: 3F28B441FEF2235B7ACEAA60CA53F127094C1809
CRC32: 31585ce1
Kaspersky 报为 Trojan-GameThief.Win32.Magania.bvpp,瑞星 报为 Trojan.PSW.Win32.GameOL.yjw
文件说明符 : C:/WINDOWS/system32/08223B03.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 19:0:52
修改时间 : 2009-10-10 19:0:52
大小 : 20058 字节 19.602 KB
MD5 : 6dea1b9eebba50fc7006a0b1ea6e2de8
SHA1: BF91304498F2DFCC080385D7EC36EFDE439F0B8F
CRC32: 8230c6b8
Kaspersky 报为 Trojan-GameThief.Win32.Magania.bwqf,瑞星 报为 Trojan.PSW.Win32.GameOL.yjw
文件说明符 : C:/WINDOWS/system32/scvhost.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 17:40:20
修改时间 : 2009-10-10 20:9:30
大小 : 30568 字节 29.872 KB
MD5 : 221f69cd310b20e0a148257dfafed2f5
SHA1: 737E3323C979AC82345CFB5DF7FAF115B8AADF87
CRC32: 8e8f8c5d
文件说明符 : C:/WINDOWS/system32/Processa.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:59:9
修改时间 : 2009-10-10 20:13:39
大小 : 11264 字节 11.0 KB
MD5 : 62dc35da8dfe893a92ab481e773663c7
SHA1: F541F949A334690EB24D007E3E21846F341C3856
CRC32: cf5260a1
Kaspersky 报为 Trojan-GameThief.Win32.OnLineGames.vrqd,瑞星 报为 Trojan.PSW.Win32.DNFOnLine.dc
文件说明符 : C:/WINDOWS/system32/SoundxVolumns.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:54:10
修改时间 : 2009-10-10 18:54:5
大小 : 23433 字节 22.905 KB
MD5 : 27fa93ade9eb532ca70de7cf818d3a6c
SHA1: 16A9F880B6E55734BD98A82EE04BC7E5602A97E3
CRC32: 5c6e60f4
Kaspersky 报为 Trojan-Dropper.Win32.Agent.bdlz,瑞星 报为 Trojan.DL.Win32.VBcode.pm
文件说明符 : C:/WINDOWS/system32/SoundxVolumns.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : BrowserHelper
公司名称 : Lenovo (Beijing) Limited
内部名称 : BrowserHelper
源文件名 : BrowserHelper.dll
创建时间 : 2009-10-10 18:54:7
修改时间 : 2009-10-12 8:57:36
大小 : 45056 字节 44.0 KB
MD5 : 6ec5b0bda10924446997e8b3666ccddb
SHA1: 86581584BCA838C1011D6D374304C4E407161CAC
CRC32: ccb30ebe
Kaspersky 报为 Trojan.Win32.VB.vvg,瑞星 报为 AdWare.Win32.StartPage.czb
文件说明符 : c:/windows/temp/explorer.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 6.00.2900.5512 (xpsp.080413-2105)
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 6.00.2900.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : explorer
源文件名 : EXPLORER.EXE
创建时间 : 2009-10-10 20:13:6
修改时间 : 2008-4-14 20:0:0
大小 : 3440660 字节 3.288 MB
MD5 : a8bf54829afcc4fca6bf9cd16f88d106
SHA1: 7AAE0703E72EB8CA165CA8870FB6F84DD7314946
CRC32: 18ea0319
文件说明符 : C:/WINDOWS/aa35484.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:13:22
修改时间 : 2009-10-10 20:13:22
大小 : 13312 字节 13.0 KB
MD5 : 1f671da3fbb04a7de3cd7280e2c7b9f2
SHA1: 97DCD0443E2B3C651E6DFA4DB9D7FDA540AD7630
CRC32: 21499387
Kaspersky 报为 Trojan-Downloader.Win32.Geral.dfp,瑞星 报为 Trojan.DL.Win32.Mnless.ere
C:/WINDOWS/aa8983640.exe 同 aa35484.exe
C:/WINDOWS/aa35875.exe 同 aa35484.exe
C:/WINDOWS/aa37140.exe 同 aa35484.exe
C:/WINDOWS/aa36109.exe 同 aa35484.exe
C:/WINDOWS/aa37218.exe 同 aa35484.exe
文件说明符 : C:/WINDOWS/extext70750t.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 8:58:27
修改时间 : 2009-10-12 8:58:27
大小 : 12288 字节 12.0 KB
MD5 : b3e84f1dff910440f14dac68797ea133
SHA1: 953D4F30C97D8E53F73508A881BFA0AD6186AA24
CRC32: 8dac9d50
Kaspersky 报为 Trojan-Downloader.Win32.Geral.aot,瑞星 报为 Trojan.DL.Win32.Mnless.eds
C:/WINDOWS/extext70843t.exe 同 extext70750t.exe
C:/WINDOWS/extext3838500t.exe 同 extext70750t.exe
C:/WINDOWS/extext4243250t.exe 同 extext70750t.exe
C:/WINDOWS/extext4648343t.exe 同 extext70750t.exe
C:/WINDOWS/extext70015t.exe 同 extext70750t.exe
C:/WINDOWS/extext197062t.exe 同 extext70750t.exe
文件说明符 : C:/WINDOWS/system32/x
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-3 11:7:14
修改时间 : 2009-10-12 9:8:2
大小 : 167403 字节 163.491 KB
MD5 : 2e8da5a55865a091864a4338ef4d2e44
SHA1: D5B567AFAB6132FA132EF486A93C24E3A5AC5F4F
CRC32: 2d7a70cc
Kaspersky 报为 Net-Worm.Win32.Kido.ih,瑞星 报为 Hack.Exploit.Win32.MS08-067.es