遭遇krnln.fnr,com.run,shell.fne,dp1.fne,eAPI.fne,internet.fne,RegEx.fnr,spec.fne等
一位網友說他的電腦可能中病毒了,癥狀為把隨身碟中的檔案夾改名後再雙擊,就提示找不到檔案夾。
通過QQ遠程協助,先檢查隨身碟,發現了檔案夾變EXE檔案的病毒。刪除EXE檔案病毒,再去除被病毒隱藏的檔案夾的隱藏和系統屬性。
再用pe_xscan掃描電腦,產生系統日誌並分析,發現如下可疑項:
pe_xscan 10-07-04 by Purple Endurer
2010-9-25 20:54:33
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理使用者組
正常模式
C:/WINDOWS/explorer.exe * 1596 | 2008-4-14 20:0:0
C:/Program Files/FreeLaunchBar/flb.dll | 2010-7-22 10:14:49|Free Launch Bar|1.0.0.0|Free Launch Bar|著作權(C)2001-2004 TrueSoft|1.0.0.0|TrueSoft|Free Launch Bar|FreeLaunchBar|flb.dll
C:/WINDOWS/system32/spoolsv.exe*1656 | 2010-8-17 21:17:6
C:/WINDOWS/system32/EC4698/0246EF.EXE * 1844 | 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/krnln.fnr | 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/com.run | 2010-8-3 14:58:26|com Dynamic Link Library|1, 0, 0, 1|com DLL|著作權 (C) 2004|1, 0, 0, 1| | |com|com.DLL
C:/WINDOWS/system32/EC4698/shell.fne | 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/dp1.fne | 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/eAPI.fne | 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/internet.fne | 2010-8-3 14:58:26|internet Dynamic Link Library|1, 0, 0, 1|internet DLL|著作權 (C) 2002|1, 0, 0, 1| | |internet|internet.DLL
C:/WINDOWS/system32/EC4698/RegEx.fnr | 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/spec.fne| 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/PV718346.EXE*3988 | 2010-9-25 8:18:52
C:/WINDOWS/system32/EC4698/krnln.fnr | 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/eAPI.fne| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/dp1.fne | 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/W65C5EF7.EXE*1948 | 2010-9-25 8:18:53
C:/WINDOWS/system32/EC4698/krnln.fnr | 2010-8-3 14:58:26
C:/WINDOWS/system32/EC4698/eAPI.fne| 2010-8-16 9:17:9
C:/WINDOWS/system32/EC4698/dp1.fne | 2010-8-3 14:58:26
O2 - IeAddOn(JsObject Class) - {11CC93E4-0BE6-4f8f-82AA-D577FB955B05}
=C:/Program Files/Baidu/AddressBar/AddressBar.dll
O4 - HKLM/../run: [0246EF]C:/WINDOWS/system32/EC4698/0246EF.EXE
O4 - Startup:0246EF.lnk->C:/WINDOWS/system32/EC4698/0246EF.EXE
HKLM/SHOWALL 值非1
到 http://purpleendurer.ys168.com 下載了FileInfo 和bat_do。 用bat_do 把病毒檔案打包,用FileInfo 提取病毒檔案資訊。
網友電腦中只裝有QQ軟體管家,沒有殺毒軟體,於是想到瑞星網站下載安裝,不料瑞星網站首頁總是無法顯示,估計是被病毒屏蔽了,後面清除病毒後就能正常開啟了。
再試試金山毒霸網站,可以正常開啟,發現上面有個完全免費的“金山毒霸技術預覽版”,才10.4 MB,試試看。
居然具有一些系統修複功能,可惜有修複效果不盡如人意,比如:
O4 - Startup: 0246EF.lnk -> C:/WINDOWS/system32/EC4698/0246EF.EXE
在查殺完成並重啟電腦後還在,只好手動清除。
另外就是誤判,把我的FileInfo也當成惡意程式了,IceSword也未能倖免。
附部分惡意檔案資訊:
檔案說明符 : C:/WINDOWS/system32/EC4698/0246EF.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-16 9:17:9
修改時間 : 2010-8-16 9:17:9
大小 : 114176 位元組 111.512 KB
MD5 : fec7a8d7fd20f96995cc3d571d2448ec
SHA1: DA92FD20B44F084358F2FE00B2D0DDC531792FF7
CRC32: 70003d06
檔案說明符 : C:/WINDOWS/system32/EC4698/krnln.fnr
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:25
大小 : 1101824 位元組 1.52 MB
MD5 : d98daa3910ff67c67ecd6eb234690fa6
SHA1: 2FBC167EA2AB1B83E0FEE1F83EBB1C55CE27E553
CRC32: 14c9503b檔案說明符 : C:/WINDOWS/system32/EC4698/com.run
屬性 : -SH-
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 1, 0, 0, 1
說明 : com DLL
著作權 : 著作權 (C) 2004
產品版本 : 1, 0, 0, 1
產品名稱 : com Dynamic Link Library
內部名稱 : com
源檔案名稱 : com.DLL
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:26
大小 : 266240 位元組 260.0 KB
MD5 : ce2f773275d3fe8b78f4cf067d5e6a0f
SHA1: B7135E34D46EB4303147492D5CEE5E1EF7B392AB
CRC32: f2b03db9檔案說明符 : C:/WINDOWS/system32/EC4698/shell.fne
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-16 9:17:9
修改時間 : 2010-8-16 9:17:8
大小 : 40960 位元組 40.0 KB
MD5 : 6252f4ed0e19019c65aebafe47fdabaa
SHA1: EFE5D416D749C27960496CC842E65E70B05393C7
CRC32: aed60996檔案說明符 : C:/WINDOWS/system32/EC4698/dp1.fne
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:25
大小 : 114688 位元組 112.0 KB
MD5 : ce2f031c754188a1e44f3a192e64cde7
SHA1: 7C24B3F551F52B829E838A792F7F8EF38B804284
CRC32: a69e274f檔案說明符 : C:/WINDOWS/system32/EC4698/eAPI.fne
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-16 9:17:9
修改時間 : 2010-8-16 9:17:8
大小 : 323584 位元組 316.0 KB
MD5 : cd343dd62be7a89a164b19819b7d5808
SHA1: D67E9D2289A8C6B4A7EEEF909F1F841AE15ABBF9
CRC32: 225f6262檔案說明符 : C:/WINDOWS/system32/EC4698/internet.fne
屬性 : -SH-
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 1, 0, 0, 1
說明 : internet DLL
著作權 : 著作權 (C) 2002
產品版本 : 1, 0, 0, 1
產品名稱 : internet Dynamic Link Library
內部名稱 : internet
源檔案名稱 : internet.DLL
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:26
大小 : 184320 位元組 180.0 KB
MD5 : 299c26fb72a3d286cc24c4a9a9a4a693
SHA1: ACC3292D9D0534124675FFA6C6B336E1F25F4E30
CRC32: 191a6c3a檔案說明符 : C:/WINDOWS/system32/EC4698/RegEx.fnr
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:26
大小 : 217088 位元組 212.0 KB
MD5 : a67daddcb30335163cf7d99f282f5ae0
SHA1: C033169006BEF68BEBFA77405C4A35688AB41A99
CRC32: 6e8cc79c檔案說明符 : C:/WINDOWS/system32/EC4698/spec.fne
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:26
大小 : 69632 位元組 68.0 KB
MD5 : 8985d73f08638b4b48ecd30759c9e53f
SHA1: 400A90C9EABEB94AE05E5036E21DC922B0C1FFAD
CRC32: fac44b10檔案說明符 : C:/WINDOWS/system32/EC4698/9UN68.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-8 10:47:9
修改時間 : 2010-8-8 10:47:9
大小 : 14848 位元組 14.512 KB
MD5 : 541088f60a19f6e417cac50b2c2d79d2
SHA1: BFE1C09A42C0838B5ECAAE6F0C8D77D0AE89B369
CRC32: cbc95d60檔案說明符 : C:/WINDOWS/system32/EC4698/WH44714B.EXE
同 C:/WINDOWS/system32/EC4698/9UM68.EXE檔案說明符 : C:/WINDOWS/system32/EC4698/9UM68.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-24 8:55:27
修改時間 : 2010-9-18 8:1:59
大小 : 14848 位元組 14.512 KB
MD5 : ca3f4315bca7460f9df8589b0eb36360
SHA1: BDB67716CF91F72DDEB2234814294D59BC2DBE72
CRC32: fd1c85e5ca3f4315bca7460f9df8589b0eb36360---9UM68.EXE檔案說明符 : C:/WINDOWS/system32/EC4698/Z8CDAC38.EXE
同C:/WINDOWS/system32/EC4698/9UN68.EXE檔案說明符 : C:/WINDOWS/system32/EC4698/VC-WL8.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-3 15:4:59
修改時間 : 2010-8-8 15:35:50
大小 : 14336 位元組 14.0 KB
MD5 : fa35d4e9867489c581ee263ad77d8e96
SHA1: 63A93A8FC37B3C792356F8F73BFFDC7B5F569671
CRC32: 76094d83卡巴斯基報為:Trojan.Win32.FlyStudio.uj,瑞星報為:Trojan.Win32.Generic.520C5658檔案說明符 : C:/WINDOWS/system32/EC4698/VV6F2450.EXE
同 C:/WINDOWS/system32/EC4698/VC-WL8.EXE檔案說明符 : C:/WINDOWS/system32/EC4698/cnvpe.fne
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-3 14:58:26
修改時間 : 2010-8-3 14:58:25
大小 : 61440 位元組 60.0 KB
MD5 : ad05921e0c3d85fd065df25b42ac7685
SHA1: E6802FD48478DB7234CD82F79E9B4D00B51D6D1D
CRC32: 90e60753檔案說明符 : C:/WINDOWS/system32/EC4698/VC-G8.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-16 9:23:37
修改時間 : 2010-8-23 15:40:30
大小 : 13312 位元組 13.0 KB
MD5 : 4de97ffb8d44d3225971b08170a47961
SHA1: 3FC8285D9C3B606BA21FBC366E7F2B94F8A9E62C
CRC32: 324028f8卡巴斯基報為:Trojan.Win32.FlyStudio.uj,瑞星報為:Trojan.Win32.Generic.5226A7A6檔案說明符 : C:/WINDOWS/system32/EC4698/TC-G9.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-8-24 8:55:27
修改時間 : 2010-9-13 8:11:51
大小 : 13312 位元組 13.0 KB
MD5 : 09acefe66d8cf177462a81ab2f2b955a
SHA1: 2CC8C6D8A2BACECC49EE3BA4F554BD736F867E25
CRC32: 9c4356cc卡巴斯基報為Trojan.Win32.FlyStudio.uj,瑞星報為 Trojan.Win32.Generic.522A0EF0檔案說明符 : C:/WINDOWS/system32/EC4698/NV5952B3.EXE
同 C:/WINDOWS/system32/EC4698/TC-G9.EXE檔案說明符 : C:/WINDOWS/system32/EC4698/TC-GP.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-14 9:2:43
修改時間 : 2010-9-25 8:18:52
大小 : 12800 位元組 12.512 KB
MD5 : de987157d620191f09dd9c6b69459eac
SHA1: FFBABEDD3E355751CCAD4BC5BDB631581F1C0183
CRC32: c2e3b01e瑞星報為 Trojan.Win32.Generic.5231FF7F檔案說明符 : C:/WINDOWS/system32/EC4698/PV718346.EXE
同 C:/WINDOWS/system32/EC4698/TC-GP.EXE檔案說明符 : C:/WINDOWS/system32/EC4698/9UM78.EXE
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2010-9-20 11:19:19
修改時間 : 2010-9-25 8:18:52
大小 : 14848 位元組 14.512 KB
MD5 : 0a244a1b2478af8c580c805cc394f1c1
SHA1: F14DCDAE117F36634E8D683D8D7B205C1C0CE991
CRC32: 1b53050c瑞星報為 Trojan.Win32.Generic.523389F9檔案說明符 : C:/WINDOWS/system32/EC4698/W65C5EF7.EXE
同 C:/WINDOWS/system32/EC4698/9UM78.EXE
