遭遇kav32.exe,scvhost.exe,NXD.exe,WINMSCABC.IME,extext74296t.exe等2

endurer 原创
2009-11-17 第1

 

(续1)

 

从log中可以发现下列系统文件未能通过数字签名的验证,很可能被病毒替换了:

 

C:/WINDOWS/explorer.exe
C:/WINDOWS/system32/userinit.exe
C:/WINDOWS/system32/mshtml.dll
C:/WINDOWS/system32/sfc_os.dll
C:/WINDOWS/system32/wininet.dll
C:/WINDOWS/system32/DNSAPI.dll
C:/WINDOWS/system32/mswsock.dll
C:/WINDOWS/system32/COMRes.dll
C:/WINDOWS/system32/stobject.dll
C:/WINDOWS/System32/drivers/afd.sys
C:/WINDOWS/WinSxS/x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df/gdiplus.dll
C:/Program Files/Messenger/msgscr.dll


另外,在完整的pe_xscan log中还发现了一个比较少见的系统服务项:

 

O23 - 服务: hardlock (hardlock) - C:/WINDOWS/system32/drivers/hardlock.sys  | 2008-12-17 14:52:55 | Hardlock Device Driver for Windows NT | 3.25 | Hardlock Device Driver for Windows NT | Copyright 1994-2003 Aladdin Knowledge Systems. | 3.25 | Aladdin Knowledge Systems| ? | hardlock.sys | hardlock.sys(自动)


 
Google了一下,hardlock.sys属于aladdin数字版权加密锁工具的驱动。很多大型软件都采取了版权保护措施~

 

分析完毕,开始修复。

 

http://purpleendurer.ys168.com 下载 下载 bat_do 和 FileInfo,然后断开网线。

 

打开任务管理器,终止下列进程树:

 

C:/WINDOWS/explorer.exe
C:/WINDOWS/extext74296t.exe
C:/WINDOWS/extext74406t.exe
C:/WINDOWS/system32/userinit.exe
C:/WINDOWS/system32/rundll32.exe
C:/WINDOWS/system32/scvhost.exe

 

这样WinRAR可以正常运行了,我们把bat_do 和 FileInfo解压出来。

用 FileInfo 提取log中红色标记的文件信息。

将上列系统文件改名,我们用U盘从其它电脑中复制以上文件到相应目录下。

用 FileInfo 提取log中红色标记的文件信息,用 bat_do 将 log中除上列系统文件外的其它红色标记的文件 打包备份并延时删除。

在WinRAR中删除C:/autorun.inf。

打开注册表编辑器,删除病毒启动项。

重启电脑,瑞星监控小伞图标显示为红伞,修复安装之。

接上网线,下载 DrWeb CureIt!全面查杀病毒,发现很多EXE和DLL被感染,修复之!

重启电脑后,小伞图标显示为绿伞,但手动升级时出错,提示网络有故障。

检查瑞星程序文件夹,发现名为wsock32.dll的文件,用bat_do延时删除。重启电脑,瑞星可以正常升级了,全面查杀病毒~

 

附部分恶意文件信息:

 

文件说明符 : C:/WINDOWS/explorer.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 6.00.2900.5512 (xpsp.080413-2105)
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 6.00.2900.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : explorer
源文件名 : EXPLORER.EXE
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-14 20:0:0
大小 : 3440660 字节 3.288 MB
MD5 : a8bf54829afcc4fca6bf9cd16f88d106
SHA1: 7AAE0703E72EB8CA165CA8870FB6F84DD7314946
CRC32: 18ea0319


文件说明符 : C:/WINDOWS/system32/userinit.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 8:56:38
修改时间 : 2004-8-17 12:0:0
大小 : 23552 字节 23.0 KB
MD5 : e93566a2d7e84951cc2a6c28dffc2303
SHA1: 7896EBE6117572B050DFD99E72EA300179CC76E4
CRC32: fe0994ed

 

文件说明符 : C:/WINDOWS/MKMKrnl.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 18:47:37
修改时间 : 2009-10-12 18:47:37
大小 : 10240 字节 10.0 KB
MD5 : 3e24626303f7745ef4b3009892c55622
SHA1: AB9D118116CFCEC039B143B95BF0AA8A5BF88489
CRC32: 86ccf000

 

卡巴斯基报为Trojan.Win32.Agent.anoe,瑞星报为Trojan.Win32.Undef.soe

 

文件说明符 : C:/WINDOWS/MPKrnl.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 18:48:2
修改时间 : 2009-10-12 18:48:2
大小 : 20480 字节 20.0 KB
MD5 : 1e64d0fefa081984fcaf4fd63ab34b4c
SHA1: AC1D299DEE15E12806A41C3874124C6E568F3AE1
CRC32: a316cad6

 

卡巴斯基报为Trojan-Downloader.Win32.Agent.ansh,瑞星报为Worm.Win32.Agent.zv


文件说明符 : C:/WINDOWS/MSVB50CHS.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : WmiLib
公司名称 : Matrix
内部名称 : WMILib
源文件名 : WMILib.dll
创建时间 : 2009-10-12 18:48:2
修改时间 : 2009-10-12 18:48:2
大小 : 24625 字节 24.49 KB
MD5 : de39bdf26687a771c8fa21728350b41a
SHA1: 02223DA4D42000F4C6DC9A71B25991B14BA3DD72
CRC32: cd733685

 

卡巴斯基报为Trojan.Win32.VB.gqe,瑞星报为Trojan.Win32.Generic.51E8FA99


文件说明符 : C:/WINDOWS/system32/dsound.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.3.2600.5512 (xpsp.080413-0845)
说明 : DirectSound
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.3.2600.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : DirectSound
源文件名 : dsound.dll
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-11-3 22:42:50
大小 : 368160 字节 359.544 KB
MD5 : 463801de6efc4374b619732ffea6ef9f
SHA1: D047549F70B6F40E529B2699965CA32099A09518
CRC32: 98d1e786

 

瑞星报为Win32.Loader.by


文件说明符 : C:/WINDOWS/system32/comres.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-11-8 9:16:11
大小 : 11780 字节 11.516 KB
MD5 : c8adffde155e967cdc3740a8c347b3d6
SHA1: F7895B84EC06435735853133F59734B58E8AD258
CRC32: c12668bd

 

瑞星报为Trojan.PSW.Win32.DNFOnLine.ec

 

文件说明符 : C:/WINDOWS/system32/Processa.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:59:9
修改时间 : 2009-10-16 10:18:3
大小 : 11264 字节 11.0 KB
MD5 : 73181359706f938ded7049c6850558d2
SHA1: 429BEEB1B3BEEF3981A236F00DD237C0D8FAC839
CRC32: 3a95ba1c


文件说明符 : C:/WINDOWS/system32/substdals.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-17 12:57:26
修改时间 : 2009-10-17 12:57:26
大小 : 45056 字节 44.0 KB
MD5 : 9df09ed22996e6764e23b07117c393ee
SHA1: 84FF4791A72779895D6AC60EFBAD8CC14A5370A3
CRC32: 9bca2e8c


文件说明符 : C:/WINDOWS/system32/SoundxVolumns.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:54:10
修改时间 : 2009-10-10 18:54:5
大小 : 23433 字节 22.905 KB
MD5 : 27fa93ade9eb532ca70de7cf818d3a6c
SHA1: 16A9F880B6E55734BD98A82EE04BC7E5602A97E3
CRC32: 5c6e60f4


文件说明符 : C:/WINDOWS/system32/scvhost.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 17:40:20
修改时间 : 2009-10-10 20:9:30
大小 : 30568 字节 29.872 KB
MD5 : 221f69cd310b20e0a148257dfafed2f5
SHA1: 737E3323C979AC82345CFB5DF7FAF115B8AADF87
CRC32: 8e8f8c5d


文件说明符 : C:/WINDOWS/system32/NXD.exe
属性 : ASH-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 21.0.0.17
说明 : RavCopy Module
版权 : Copyright(C) 2008-2009 Beijing Rising Information Technology Co., Ltd. All Rights Reserved.
产品版本 : 21.00
产品名称 : Rising AntiVirus 2009
公司名称 : Beijing Rising Information Technology Co., Ltd.
内部名称 : Beijing Rising Information Technology Co., Ltd.
源文件名 : ravcopy.exe
创建时间 : 2009-10-10 20:14:19
修改时间 : 2009-10-10 20:14:19
大小 : 25600 字节 25.0 KB
MD5 : 5d9fcffe4b2e12d6038b22dea7b0547c
SHA1: 2089F293D1CB6EF00B1AD2408B258038DF533666
CRC32: 08432242

 

卡巴斯基报为Trojan.Win32.Scar.vwe,瑞星报为Hack.DDoSer.Win32.Agent.lb

 

文件说明符 : C:/WINDOWS/system32/SoundxVolumns.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : BrowserHelper
公司名称 : Lenovo (Beijing) Limited
内部名称 : BrowserHelper
源文件名 : BrowserHelper.dll
创建时间 : 2009-10-10 18:54:7
修改时间 : 2009-10-12 8:57:36
大小 : 45056 字节 44.0 KB
MD5 : 6ec5b0bda10924446997e8b3666ccddb
SHA1: 86581584BCA838C1011D6D374304C4E407161CAC
CRC32: ccb30ebe


文件说明符 : C:/WINDOWS/system32/stobject.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.5512 (xpsp.080413-2105)
说明 : Systray shell service object
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : stobject
源文件名 : stobject.dll
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-10-12 18:45:23
大小 : 121344 字节 118.512 KB
MD5 : 2a9bb882b4b26a76887fbe0307c84e30
SHA1: AF4249DA2C5138AC3F3B19FDE9C9A294D2D877F9
CRC32: 8940ab51

 

卡巴斯基报为Trojan.Win32.Patched.gz

 

文件说明符 : C:/WINDOWS/system32/qt-dx3.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 18:47:55
修改时间 : 2009-10-12 18:47:55
大小 : 17920 字节 17.512 KB
MD5 : afe31b1b7f6e6734a44be7700023e34b
SHA1: 19B9A9AF75BC34ECE6DF12754E137CD87FC198DD
CRC32: 345e68ea

 

卡巴斯基报为Trojan.Win32.Agent.cxzp


文件说明符 : D:/cconter.exe
属性 : --H-
数字签名:123.cn
PE文件:是
语言 : 中文(中国)
文件版本 : 4.05.0005
产品版本 : 4.05.0005
产品名称 : dfdf
公司名称 : dfdf
内部名称 : Mode8
源文件名 : Mode8.exe
创建时间 : 2009-10-10 20:14:19
修改时间 : 2009-10-10 20:14:20
大小 : 65268 字节 63.756 KB
MD5 : db0ddad2e2ad869ea58911c7f198c38a
SHA1: BEFC571ACB99778CD432E44F6D01F631600BDCC9
CRC32: 6ea070a6

 

卡巴斯基报为Trojan-PSW.Win32.QQFish.cv,瑞星报为Trojan.PSW.Win32.QQPass.ess

 

你可能感兴趣的:(遭遇kav32.exe,scvhost.exe,NXD.exe,WINMSCABC.IME,extext74296t.exe等2)