endurer 原創
2006-12-31 第1版
今天通過QQ遠程協助
網友的電腦中發現scvhsot.exe的進程和啟動項
http://blog.csdn.net/Purpleendurer/archive/2006/12/30/1469853.aspx
http://endurer.bokee.com/6002927.html
中的網友。
用 pe_xscan 掃描 log,發現如下可疑項:
/==========
pe_xscan by Purple Endurer
2006-12-31 8:49:22
Windows XP Service Pack 2(5.1.2600)
非管理使用者組
C:/Program Files/Symantec AntiVirus/DefWatch.exe*1772
C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL
2004-8-8 11:33:53
ProductName : irJIT
ProductVersion : 5, 1, 2600, 2709
FileDescription : Microsoft irJIT Module
LegalCopyright : (C) Microsoft Corporation. All rights reserved.
FileVersion : 5, 1, 2600, 2709
CompanyName : Microsoft Corporation
LegalTradeMarks :
InternalName : IRJIT
OriginalFileName : IRJIT.dll
D:/GGGG/lyl/安裝檔案/Tencent/QQ/QQ.exe*1252
C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL
2004-8-8 11:33:53
ProductName : irJIT
ProductVersion : 5, 1, 2600, 2709
FileDescription : Microsoft irJIT Module
LegalCopyright : (C) Microsoft Corporation. All rights reserved.
FileVersion : 5, 1, 2600, 2709
CompanyName : Microsoft Corporation
LegalTradeMarks :
InternalName : IRJIT
OriginalFileName : IRJIT.dll
C:/Program Files/Internet Explorer/iexplore.exe*2336
C:/Program Files/Common Files/CPUSH/cpush.dll*2006-12-15 14:47:2
ProductName :
ProductVersion : 1.0.2.0
FileDescription :
LegalCopyright :
FileVersion : 1.0.2.0
CompanyName :
LegalTradeMarks :
InternalName : cpush.dll
OriginalFileName : cpush.dll
C:/WINDOWS/system32/SCIntruder.dll*2006-12-25 14:0:18
O2 - BHO CAdLogic Object - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:/Program Files/Common Files/CPUSH/cpush.dll
O2 - BHO WinSC Class - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:/WINDOWS/system32/SCIntruder.dll
O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe
D:/autorun.inf
/-----
[AutoRun] open=sss.exe
shellexecute=sss.exe
shell/Auto/command=sss.exe
-----/
E:/autorun.inf
/-----
[AutoRun] open=sss.exe
shellexecute=sss.exe
shell/Auto/command=sss.exe
-----/
O23 - 服務: 00007696 (00007696) - system32/drivers/00007696.SYS(引導)
O23 - 服務: apzgvz94 (apzgvz94) - System32/DRIVERS/apzgvz94.sys(引導)
O23 - 服務: djbicdib (djbicdib) - system32/drivers/djbicdib.sys(引導)
O23 - 服務: lDOMANE (Windows Install Helper) - C:/WINDOWS/SYSTEM32/RUNDLL32.EXE C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL,Export 1087(自動啟動)
==========/
用的 pe_xscan 不是最新版本的,log 格式不是很好-_-!
scvhsot.exe進程已經被網友用工作管理員終止了。
到 http://purpleendurer.ys168.com 下載 bat_do 和 FileInfo。
用 FileInfo 提取下列檔案資訊,bat_do把檔案打包備份後刪除,刪除不掉的,用下次啟動時執行來解決。
檔案說明符 : C:/WINDOWS/system32/SCIntruder.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2006-12-29 8:39:46
修改時間 : 2006-12-25 14:0:18
訪問時間 : 2006-12-31 9:2:47
大小 : 105984 位元組 103.512 KB
MD5 : 8b6fa712a16e3d617b9a65e09e1800cf
檔案說明符 : C:/WINDOWS/system32/scvhsot.exe
屬性 : ASHR
擷取檔案版本資訊大小失敗!
建立時間 : 2006-12-23 21:34:38
修改時間 : 2006-12-23 21:34:38
訪問時間 : 2006-12-31 9:4:28
大小 : 37376 位元組 36.512 KB
MD5 : 246cc5b5932f1be326a8fdc8478cb315
scvhsot.exe 的MD5值與
遭遇Trojan.DL.Multi.wfg(sss.exe,SCVHOST.EXE)等
http://endurer.bokee.com/5980310.html
http://blog.csdn.net/Purpleendurer/archive/2006/12/22/1454383.aspx
中的不同,是個新變種,Kaspersky 6.0 2006-12-26 13:08:50病毒庫不能查殺。
因為時間關係,沒有擷取 O23服務 中的檔案。
用WinRAR從D盤開始檢查所有硬碟分區, 刪除autorun.inf和sss.exe。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
