遭遇Trojan.Alipop,microinfo.dll,gofwk.pic,game.dll,qpjmy.exe,nnaa.exe,SafeDrv.exe等2
在分析log的过程中,下载DrWeb CureIt!,重启电脑想进安全模式查杀,结果在启动过程中蓝屏,看来是被恶意程序破坏了,只好拔出网线,在正常模式下查杀病毒。
从pe_xscan的log上看,朋友的电脑装了N多的垃圾软件,如百度搜霸、雅虎助手、中文上网2007、Coopen播放器等,估计都是安装某些软件时不小心装上的。
F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe C:/WINDOWS/system32/wbem/360tray.exe>
假冒360卫士文件的360tray.exe利用userinit.exe来启动。
从log上可以看到有许多恶意文件在版本信息里假冒瑞星和360卫士的文件。
O2组列出了IE加载项,其中比较难处理的是:
O2 - IeAddOn(HkcuExSt) - - {296AB1B8-FB22-4D17-8834-064E2BA0A6F0} = C:/WINDOWS/UoDo/game.dll|2007-9-18 19:37:34
O2 - IeAddOn(HkcuExSt) - - {57CC5BE6-65FB-4533-B5C3-11DF00ACC50B} = C:/WINDOWS/system32/nsDk.dll
O4组列出了通过注册表的run键和开始菜单启动文件夹启动的项目。
恶意程序还在每个盘下创建autorun.inf来启动恶意程序SafeDrv.exe。
O10 - LSP: MSAFD Tcpip [TCP/IP] = C:/WINDOWS/system32/microinfo/microinfo.dll|2010-6-21 14:10:33
在LSP上插入了microinfo.dll来限止杀毒网站的打开。删除microinfo.dll会导致网页打不开,需要用WinSockFix之类的软件来修复LSP。
O22 - SharedTaskScheduler: (ATlMy Class) - {C4560D12-CE25-4A2E-A5D4-B5070FCBE282} = C:/WINDOWS/System32/dysgn.dll
利用这种方式来启动的恶意程序比较少见。
O23组 报告系统服务和驱动。其中
O23 - 服务: HidServ (Human Interface Device Access) - C:/WINDOWS/System32/svchost.exe -k netsvcs
-> C:/PROGRA~1/qteri/gwrcd.biz|2010-6-21 13:20:7(自动)
O23 - 服务: Messenger (Messenger) - C:/WINDOWS/system32/svchost.exe-k netsvcs
-> C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic(自动)
都是直接修改了Windows系统服务调用的文件。
O24组报告了explorer的执行挂钩程序,这是恶意程序经常使用的。
O26组报告的是映像劫持技术。这是恶意程序阻止杀毒软件等系统防护软件启动常用的方法。
O29组报告的是IE的起始页、搜索页的设置。
DrWeb CureIt!查杀结果如下:
=========================
综合统计
=========================
已扫描对象: 14128
受感染对象: 108
受变种感染对象: 0
可疑对象: 2
广告软件: 1
拨号软件: 0
恶作剧程序: 0
风险程序: 0
黑客工具: 0
已修复: 22
已删除: 51
已重命名: 0
已隔离: 37
已忽略: 0
扫描速度: 840 Kb/s
扫描时间: 0:40:26
=========================
DrWeb CureIt!检测到了:
Master Boot Record HDD1 已被病毒感染 : Trojan.Alipop.5
Google了一下,这个东东被国外网友称为:Chinese "bootkit" 。
到http://tool.ikaka.com下载、安装卡卡安全助手。
到http://purpleendurer.168.com下载 IEFO_Man,删除O26 组中RA开头的项目,这些是阻止瑞星软件启动的,这样就可以启动卡卡安全助手了。系统修复,查杀流氓软件,清理启动项。删除各盘上的autorun.inf和SafeDrv.exe,以及桌面上的广告图标。用IEFO_Man把SafeDrv.exe、fbes.exe、188d.exe、nnaa.exe、system32Antihhlul.exe等恶意程序名加入IEFO,阻止它们启动。
用winRAR检查,发现这台电脑还中过文件夹变EXE文件的病毒,病毒文件删除,去除文件夹的隐藏属性。
重启电脑,居然又弹广告窗口,桌面又出现了几个广告图标,看来没清除干净。打开卡卡安全助手,用高级工具里的进程管理查看,发现几个可疑进程,终止并删除文件,再次检查清理启动项。
重启电脑,还是没解决。用pe_xscan扫描log,发现
O23 - 服务: Messenger (Messenger) - C:/WINDOWS/system32/svchost.exe-k netsvcs
-> C:/Program Files/Google/ac.exe%SESSIONNAME%/gofwk.pic(自动)
还在,但这一项在卡卡安全助手里看不到。把这项干掉。终于清静了。
启动360杀毒软件,提示要联网升级才能打开监控,升就升,但1个cab文件半天都下载不回来。卸掉,换上半年免费的瑞星。
附部分恶意文件信息:
文件说明符 : C:/WINDOWS/system32/wbem/360tray.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 番茄花园
内部名称 : 工程2
源文件名 : 工程2.exe
创建时间 : 2010-6-21 12:11:21
修改时间 : 2010-6-21 12:11:21
大小 : 24576 字节 24.0 KB
MD5 : 8e0c3c6e7a136d76a27a5e27ae89d9da
SHA1: C4ABCFD62DFE7BD52D60E91679F4DCE992692D0C
CRC32: 5801399f
| a-squared | 5.0.0.11 | 20100624063430 | 2010-06-24 |
-
|
0.080 |
| AntiVir | 8.2.4.2 | 7.10.8.184 | 2010-06-24 |
TR/Scar.cift.1
|
0.276 |
| Arcavir | 2009 | 201006240913 | 2010-06-24 |
Trojan.Scar.Cift
|
0.037 |
| Authentium | 5.1.1 | 201006241456 | 2010-06-24 |
W32/VB-Downloader-Sml-based!Maximus (Heuristic)
|
1.378 |
| AVAST! | 4.7.4 | 100624-0 | 2010-06-24 |
Win32:Malware-gen
|
0.005 |
| AVG | 8.5.793 | 271.1.1/2960 | 2010-06-24 |
Generic18.AWX
|
0.302 |
| BitDefender | 7.90123.6275436 | 7.32388 | 2010-06-24 |
Gen:Trojan.UserStartup.bm0@a8LfVtob (suspected)
|
4.108 |
| ClamAV | 0.96.1 | 11255 | 2010-06-24 |
Trojan.Agent-165035
|
0.019 |
| Comodo | 3.13.579 | 5199 | 2010-06-24 |
-
|
0.079 |
| CP Secure | 1.3.0.5 | 2010.06.24 | 2010-06-24 |
-
|
0.040 |
| Dr.Web | 5.0.2.3300 | 2010.06.24 | 2010-06-24 |
Trojan.Click1.12416
|
8.431 |
| F-Prot | 4.4.4.56 | 20100624 | 2010-06-24 |
Possible W32/VB-Downloader-Sml-based!Maximus
|
1.288 |
| F-Secure | 7.02.73807 | 2010.06.24.04 | 2010-06-24 |
Trojan.Win32.Scar.cift [AVP]
|
10.552 |
| GData | 21.402/21.144 | 20100624 | 2010-06-24 |
-
|
0.078 |
| Ikarus | T3.1.01.84 | 2010.06.24.76132 | 2010-06-24 |
Trojan-Dropper.Agent
|
6.922 |
| Microsoft | 1.5902 | 2010.06.24 | 2010-06-24 |
-
|
0.080 |
| Norman | 6.05.10 | 6.05.00 | 2010-06-23 |
-
|
4.007 |
| nProtect | 20100622.01 | 8754154 | 2010-06-22 |
-
|
0.095 |
| Quick Heal | 10.00 | 2010.06.24 | 2010-06-24 |
-
|
0.077 |
| Sophos | 3.07.1 | 4.54 | 2010-06-24 |
Mal/Emogen-F
|
3.537 |
| Sunbelt | 3.9.2426.2 | 6498 | 2010-06-23 |
-
|
0.078 |
| The Hacker | 6.5.2.0 | v00303 | 2010-06-23 |
-
|
0.092 |
| VBA32 | 3.12.12.5 | 20100624.0925 | 2010-06-24 |
Trojan.Win32.Scar.cift
|
2.837 |
| ViRobot | 20100623 | 2010.06.23 | 2010-06-23 |
-
|
0.078 |
| VirusBuster | 4.5.11.10 | 10.126.100/2022635 | 2010-06-24 |
Trojan.Scar.UDE
|
2.312 |
| 卡巴斯基 | 5.5.10 | 2010.06.24 | 2010-06-24 |
Trojan.Win32.Scar.cift
|
0.077 |
| 安博士V3 | 2010.06.18.01 | 2010.06.18 | 2010-06-18 |
-
|
0.079 |
| 安天 | 2.0.18 | 20100620.4774407 | 2010-06-20 |
-
|
0.018 |
| 江民杀毒 | 13.0.900 | 2010.06.24 | 2010-06-24 |
-
|
0.084 |
| 熊猫卫士 | 9.05.01 | 2010.06.23 | 2010-06-23 |
-
|
0.083 |
| 瑞星 | 20.0 | 22.53.03.03 | 2010-06-24 |
-
|
0.077 |
| 赛门铁克 | 1.3.0.24 | 20100615.005 | 2010-06-15 |
Trojan.Gen
|
0.083 |
| 趋势科技 | 9.120-1004 | 7.264.10 | 2010-06-24 |
TROJ_SCAR.CE
|
0.021 |
| 迈克菲 | 5400.1158 | 6022 | 2010-06-23 |
Generic.dx!szd
|
16.360 |
| 金山毒霸 | 2009.2.5.15 | 2010.6.24.18 | 2010-06-24 |
-
|
0.080 |
| 飞塔 | 4.1.133 | 12.80 | 2010-06-23 |
-
|
属性 : ----
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-6-21 13:20:6
修改时间 : 2010-6-21 13:20:7
大小 : 2617344 字节 2.508 MB
MD5 : 6892a5622a761bd279cb8474f35bbe70
SHA1: D6DEF57E45BDF90EA91EBACCA95AC6BD327497F4
CRC32: 89028e68
http://www.virscan.org/report/da944a48f9d3cbf5136470f12c07e4c8.html
| a-squared | 5.0.0.11 | 20100623154315 | 2010-06-23 |
-
|
40.088 |
| AntiVir | 8.2.2.6 | 7.10.8.159 | 2010-06-23 |
TR/PSW.Bjlog.A
|
0.261 |
| Arcavir | 2009 | 201006230158 | 2010-06-23 |
Trojan.Psw.Bjlog.Iiu
|
0.050 |
| Authentium | 5.1.1 | 201006222127 | 2010-06-22 |
-
|
1.599 |
| AVAST! | 4.7.4 | 100623-0 | 2010-06-23 |
-
|
0.071 |
| AVG | 8.5.793 | 271.1.1/2957 | 2010-06-23 |
PSW.Generic8.BXF
|
0.231 |
| BitDefender | 7.90123.6271520 | 7.32371 | 2010-06-23 |
-
|
4.032 |
| ClamAV | 0.96.1 | 11249 | 2010-06-23 |
-
|
0.135 |
| Comodo | 3.13.579 | 5192 | 2010-06-23 |
-
|
40.091 |
| CP Secure | 1.3.0.5 | 2010.06.23 | 2010-06-23 |
-
|
0.437 |
| Dr.Web | 5.0.2.3300 | 2010.06.23 | 2010-06-23 |
-
|
8.599 |
| F-Prot | 4.4.4.56 | 20100622 | 2010-06-22 |
-
|
1.582 |
| F-Secure | 7.02.73807 | 2010.06.23.03 | 2010-06-23 |
Trojan:W32/Bapkri.B [FSE]
|
0.157 |
| GData | 21.394/21.141 | 20100622 | 2010-06-22 |
-
|
40.101 |
| Ikarus | T3.1.01.84 | 2010.06.23.76126 | 2010-06-23 |
Trojan-PWS.Win32.Bjlog
|
6.907 |
| Microsoft | 1.5902 | 2010.06.22 | 2010-06-22 |
-
|
40.095 |
| Norman | 6.05.10 | 6.05.00 | 2010-06-22 |
W32/Suspicious_Gen2.BEFHG
|
6.011 |
| nProtect | 20100622.01 | 8754154 | 2010-06-22 |
-
|
40.092 |
| Quick Heal | 10.00 | 2010.06.23 | 2010-06-23 |
-
|
40.086 |
| Sophos | 3.07.1 | 4.54 | 2010-06-23 |
Mal/Zegost-E
|
3.575 |
| Sunbelt | 3.9.2426.2 | 6490 | 2010-06-22 |
-
|
40.086 |
| The Hacker | 6.5.2.0 | v00303 | 2010-06-22 |
-
|
40.087 |
| VBA32 | 3.12.12.5 | 20100623.0914 | 2010-06-23 |
-
|
2.980 |
| ViRobot | 20100622 | 2010.06.22 | 2010-06-22 |
-
|
40.086 |
| VirusBuster | 4.5.11.10 | 10.126.98/2021957 | 2010-06-23 |
-
|
2.752 |
| 卡巴斯基 | 5.5.10 | 2010.06.23 | 2010-06-23 |
Trojan-PSW.Win32.Bjlog.iiu
|
0.077 |
| 安博士V3 | 2010.06.18.01 | 2010.06.18 | 2010-06-18 |
-
|
40.088 |
| 安天 | 2.0.18 | 20100620.4774407 | 2010-06-20 |
-
|
0.017 |
| 江民杀毒 | 13.0.900 | 2010.06.23 | 2010-06-23 |
-
|
40.086 |
| 熊猫卫士 | 9.05.01 | 2010.06.22 | 2010-06-22 |
-
|
40.095 |
| 瑞星 | 20.0 | 22.53.02.04 | 2010-06-23 |
-
|
40.087 |
| 赛门铁克 | 1.3.0.24 | 20100615.005 | 2010-06-15 |
-
|
0.078 |
| 趋势科技 | 9.120-1004 | 7.262.13 | 2010-06-23 |
-
|
0.000 |
| 迈克菲 | 5400.1158 | 6022 | 2010-06-23 |
-
|
19.853 |
| 金山毒霸 | 2009.2.5.15 | 2010.6.23.21 | 2010-06-23 |
-
|
40.085 |
| 飞塔 | 4.1.133 | 12.78 | 2010-06-22 |
-
|
40.086 |
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2010-6-21 14:33:25
修改时间 : 2010-6-21 14:33:25
大小 : 2407568 字节 2.303 MB
MD5 : d80e6d3f1efd20feb23ffb667d0db62c
SHA1: 8473840841F9DA013E86B2F4FC278770664483C5
CRC32: 916e5484
| a-squared | 5.0.0.11 | 20100623154315 | 2010-06-23 | - |
40.099 |
| AntiVir | 8.2.2.6 | 7.10.8.159 | 2010-06-23 | - |
0.257 |
| Arcavir | 2009 | 201006230158 | 2010-06-23 | - |
0.082 |
| Authentium | 5.1.1 | 201006222127 | 2010-06-22 | - |
1.624 |
| AVAST! | 4.7.4 | 100623-0 | 2010-06-23 | - |
0.047 |
| AVG | 8.5.793 | 271.1.1/2957 | 2010-06-23 | - |
0.257 |
| BitDefender | 7.90123.6271520 | 7.32371 | 2010-06-23 | - |
4.051 |
| ClamAV | 0.96.1 | 11249 | 2010-06-23 | - |
1.736 |
| Comodo | 3.13.579 | 5192 | 2010-06-23 | - |
40.086 |
| CP Secure | 1.3.0.5 | 2010.06.23 | 2010-06-23 | - |
0.454 |
| Dr.Web | 5.0.2.3300 | 2010.06.23 | 2010-06-23 | - |
10.906 |
| F-Prot | 4.4.4.56 | 20100622 | 2010-06-22 | - |
1.574 |
| F-Secure | 7.02.73807 | 2010.06.23.03 | 2010-06-23 | Trojan:W32/Bapkri.B [FSE] |
4.985 |
| GData | 21.394/21.141 | 20100622 | 2010-06-22 | - |
40.086 |
| Ikarus | T3.1.01.84 | 2010.06.23.76126 | 2010-06-23 | Trojan-PWS.Win32.Bjlog |
8.495 |
| Microsoft | 1.5902 | 2010.06.22 | 2010-06-22 | - |
40.086 |
| Norman | 6.05.10 | 6.05.00 | 2010-06-22 | - |
6.012 |
| nProtect | 20100622.01 | 8754154 | 2010-06-22 | - |
40.085 |
| Quick Heal | 10.00 | 2010.06.23 | 2010-06-23 | - |
40.088 |
| Sophos | 3.07.1 | 4.54 | 2010-06-23 | Mal/Zegost-E |
4.269 |
| Sunbelt | 3.9.2426.2 | 6490 | 2010-06-22 | - |
40.090 |
| The Hacker | 6.5.2.0 | v00303 | 2010-06-22 | - |
40.086 |
| VBA32 | 3.12.12.5 | 20100623.0914 | 2010-06-23 | - |
3.449 |
| ViRobot | 20100622 | 2010.06.22 | 2010-06-22 | - |
40.086 |
| VirusBuster | 4.5.11.10 | 10.126.98/2021957 | 2010-06-23 | - |
2.642 |
| 卡巴斯基 | 5.5.10 | 2010.06.23 | 2010-06-23 | - |
0.085 |
| 安博士V3 | 2010.06.18.01 | 2010.06.18 | 2010-06-18 | - |
40.103 |
| 安天 | 2.0.18 | 20100620.4774407 | 2010-06-20 | - |
0.022 |
| 江民杀毒 | 13.0.900 | 2010.06.23 | 2010-06-23 | - |
40.087 |
| 熊猫卫士 | 9.05.01 | 2010.06.22 | 2010-06-22 | - |
40.089 |
| 瑞星 | 20.0 | 22.53.02.04 | 2010-06-23 | - |
40.100 |
| 赛门铁克 | 1.3.0.24 | 20100615.005 | 2010-06-15 | - |
0.133 |
| 趋势科技 | 9.120-1004 | 7.262.10 | 2010-06-23 | - |
0.000 |
| 迈克菲 | 5400.1158 | 6021 | 2010-06-22 | - |
19.440 |
| 金山毒霸 | 2009.2.5.15 | 2010.6.23.18 | 2010-06-23 | - |
40.088 |
| 飞塔 | 4.1.133 | 12.78 | 2010-06-22 | - |
40.091 |
http://www.virscan.org/report/e59d29c562d032e755c187b3cdd2a342.html