遭遇kav32.exe,scvhost.exe,NXD.exe,WINMSCABC.IME,extext74296t.exe等2

endurer 原創
2009-11-17 第1版

 

（續1）

 

從log中可以發現下列系統檔案未能通過數位簽章的驗證，很可能被病毒替換了：

 

C:/WINDOWS/explorer.exe
C:/WINDOWS/system32/userinit.exe
C:/WINDOWS/system32/mshtml.dll
C:/WINDOWS/system32/sfc_os.dll
C:/WINDOWS/system32/wininet.dll
C:/WINDOWS/system32/DNSAPI.dll
C:/WINDOWS/system32/mswsock.dll
C:/WINDOWS/system32/COMRes.dll
C:/WINDOWS/system32/stobject.dll
C:/WINDOWS/System32/drivers/afd.sys
C:/WINDOWS/WinSxS/x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df/gdiplus.dll
C:/Program Files/Messenger/msgscr.dll

另外，在完整的pe_xscan log中還發現了一個比較少見的系統服務項：

 

O23 - 服務: hardlock (hardlock) - C:/WINDOWS/system32/drivers/hardlock.sys  | 2008-12-17 14:52:55 | Hardlock Device Driver for Windows NT | 3.25 | Hardlock Device Driver for Windows NT | Copyright 1994-2003 Aladdin Knowledge Systems. | 3.25 | Aladdin Knowledge Systems| ? | hardlock.sys | hardlock.sys(自動)

 
Google了一下，hardlock.sys屬於aladdin數字著作權加密鎖工具的驅動。很多大型軟體都採取了著作權保護措施~

 

分析完畢，開始修複。

 

到 http://purpleendurer.ys168.com 下載 下載 bat_do 和 FileInfo，然後斷開網線。

 

開啟工作管理員，終止下列進程樹：

 

C:/WINDOWS/explorer.exe
C:/WINDOWS/extext74296t.exe
C:/WINDOWS/extext74406t.exe
C:/WINDOWS/system32/userinit.exe
C:/WINDOWS/system32/rundll32.exe
C:/WINDOWS/system32/scvhost.exe

 

這樣WinRAR可以正常運行了，我們把bat_do 和 FileInfo解壓出來。

用 FileInfo 提取log中紅色標記的檔案資訊。

將上列系統檔案改名，我們用隨身碟從其它電腦中複製以上檔案到相應目錄下。

用 FileInfo 提取log中紅色標記的檔案資訊，用 bat_do 將 log中除上列系統檔案外的其它紅色標記的檔案 打包備份並延時刪除。

在WinRAR中刪除C:/autorun.inf。

開啟登錄編輯程式，刪除病毒啟動項。

重啟電腦，瑞星監控小傘表徵圖顯示為紅傘，修複安裝之。

接上網線，下載 DrWeb CureIt!全面查殺病毒，發現很多EXE和DLL被感染，修複之！

重啟電腦後，小傘表徵圖顯示為綠傘，但手動升級時出錯，提示網路有故障。

檢查瑞星程式檔案夾，發現名為wsock32.dll的檔案，用bat_do延時刪除。重啟電腦，瑞星可以正常升級了，全面查殺病毒~

 

附部分惡意檔案資訊：

 

檔案說明符 : C:/WINDOWS/explorer.exe
屬性 : A---
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 6.00.2900.5512 (xpsp.080413-2105)
說明 : Windows Explorer
著作權 : (C) Microsoft Corporation. All rights reserved.
產品版本 : 6.00.2900.5512
產品名稱 : Microsoft(R) Windows(R) Operating System
公司名稱 : Microsoft Corporation
內部名稱 : explorer
源檔案名稱 : EXPLORER.EXE
建立時間 : 2008-4-14 20:0:0
修改時間 : 2008-4-14 20:0:0
大小 : 3440660 位元組 3.288 MB
MD5 : a8bf54829afcc4fca6bf9cd16f88d106
SHA1: 7AAE0703E72EB8CA165CA8870FB6F84DD7314946
CRC32: 18ea0319

檔案說明符 : C:/WINDOWS/system32/userinit.exe
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-12 8:56:38
修改時間 : 2004-8-17 12:0:0
大小 : 23552 位元組 23.0 KB
MD5 : e93566a2d7e84951cc2a6c28dffc2303
SHA1: 7896EBE6117572B050DFD99E72EA300179CC76E4
CRC32: fe0994ed

 

檔案說明符 : C:/WINDOWS/MKMKrnl.dll
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-12 18:47:37
修改時間 : 2009-10-12 18:47:37
大小 : 10240 位元組 10.0 KB
MD5 : 3e24626303f7745ef4b3009892c55622
SHA1: AB9D118116CFCEC039B143B95BF0AA8A5BF88489
CRC32: 86ccf000

 

卡巴斯基報為Trojan.Win32.Agent.anoe，瑞星報為Trojan.Win32.Undef.soe

 

檔案說明符 : C:/WINDOWS/MPKrnl.dll
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-12 18:48:2
修改時間 : 2009-10-12 18:48:2
大小 : 20480 位元組 20.0 KB
MD5 : 1e64d0fefa081984fcaf4fd63ab34b4c
SHA1: AC1D299DEE15E12806A41C3874124C6E568F3AE1
CRC32: a316cad6

 

卡巴斯基報為Trojan-Downloader.Win32.Agent.ansh，瑞星報為Worm.Win32.Agent.zv

檔案說明符 : C:/WINDOWS/MSVB50CHS.dll
屬性 : A---
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 1.00
產品版本 : 1.00
產品名稱 : WmiLib
公司名稱 : Matrix
內部名稱 : WMILib
源檔案名稱 : WMILib.dll
建立時間 : 2009-10-12 18:48:2
修改時間 : 2009-10-12 18:48:2
大小 : 24625 位元組 24.49 KB
MD5 : de39bdf26687a771c8fa21728350b41a
SHA1: 02223DA4D42000F4C6DC9A71B25991B14BA3DD72
CRC32: cd733685

 

卡巴斯基報為Trojan.Win32.VB.gqe，瑞星報為Trojan.Win32.Generic.51E8FA99

檔案說明符 : C:/WINDOWS/system32/dsound.dll
屬性 : A---
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 5.3.2600.5512 (xpsp.080413-0845)
說明 : DirectSound
著作權 : (C) Microsoft Corporation. All rights reserved.
產品版本 : 5.3.2600.5512
產品名稱 : Microsoft(R) Windows(R) Operating System
公司名稱 : Microsoft Corporation
內部名稱 : DirectSound
源檔案名稱 : dsound.dll
建立時間 : 2008-4-14 20:0:0
修改時間 : 2009-11-3 22:42:50
大小 : 368160 位元組 359.544 KB
MD5 : 463801de6efc4374b619732ffea6ef9f
SHA1: D047549F70B6F40E529B2699965CA32099A09518
CRC32: 98d1e786

 

瑞星報為Win32.Loader.by

檔案說明符 : C:/WINDOWS/system32/comres.dll
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2008-4-14 20:0:0
修改時間 : 2009-11-8 9:16:11
大小 : 11780 位元組 11.516 KB
MD5 : c8adffde155e967cdc3740a8c347b3d6
SHA1: F7895B84EC06435735853133F59734B58E8AD258
CRC32: c12668bd

 

瑞星報為Trojan.PSW.Win32.DNFOnLine.ec

 

檔案說明符 : C:/WINDOWS/system32/Processa.dll
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-10 18:59:9
修改時間 : 2009-10-16 10:18:3
大小 : 11264 位元組 11.0 KB
MD5 : 73181359706f938ded7049c6850558d2
SHA1: 429BEEB1B3BEEF3981A236F00DD237C0D8FAC839
CRC32: 3a95ba1c

檔案說明符 : C:/WINDOWS/system32/substdals.dll
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-17 12:57:26
修改時間 : 2009-10-17 12:57:26
大小 : 45056 位元組 44.0 KB
MD5 : 9df09ed22996e6764e23b07117c393ee
SHA1: 84FF4791A72779895D6AC60EFBAD8CC14A5370A3
CRC32: 9bca2e8c

檔案說明符 : C:/WINDOWS/system32/SoundxVolumns.exe
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-10 18:54:10
修改時間 : 2009-10-10 18:54:5
大小 : 23433 位元組 22.905 KB
MD5 : 27fa93ade9eb532ca70de7cf818d3a6c
SHA1: 16A9F880B6E55734BD98A82EE04BC7E5602A97E3
CRC32: 5c6e60f4

檔案說明符 : C:/WINDOWS/system32/scvhost.exe
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-10 17:40:20
修改時間 : 2009-10-10 20:9:30
大小 : 30568 位元組 29.872 KB
MD5 : 221f69cd310b20e0a148257dfafed2f5
SHA1: 737E3323C979AC82345CFB5DF7FAF115B8AADF87
CRC32: 8e8f8c5d

檔案說明符 : C:/WINDOWS/system32/NXD.exe
屬性 : ASH-
數位簽章:否
PE檔案:是
語言 : 英語(美國)
檔案版本 : 21.0.0.17
說明 : RavCopy Module
著作權 : Copyright(C) 2008-2009 Beijing Rising Information Technology Co., Ltd. All Rights Reserved.
產品版本 : 21.00
產品名稱 : Rising AntiVirus 2009
公司名稱 : Beijing Rising Information Technology Co., Ltd.
內部名稱 : Beijing Rising Information Technology Co., Ltd.
源檔案名稱 : ravcopy.exe
建立時間 : 2009-10-10 20:14:19
修改時間 : 2009-10-10 20:14:19
大小 : 25600 位元組 25.0 KB
MD5 : 5d9fcffe4b2e12d6038b22dea7b0547c
SHA1: 2089F293D1CB6EF00B1AD2408B258038DF533666
CRC32: 08432242

 

卡巴斯基報為Trojan.Win32.Scar.vwe，瑞星報為Hack.DDoSer.Win32.Agent.lb

 

檔案說明符 : C:/WINDOWS/system32/SoundxVolumns.dll
屬性 : A---
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 1.00
產品版本 : 1.00
產品名稱 : BrowserHelper
公司名稱 : Lenovo (Beijing) Limited
內部名稱 : BrowserHelper
源檔案名稱 : BrowserHelper.dll
建立時間 : 2009-10-10 18:54:7
修改時間 : 2009-10-12 8:57:36
大小 : 45056 位元組 44.0 KB
MD5 : 6ec5b0bda10924446997e8b3666ccddb
SHA1: 86581584BCA838C1011D6D374304C4E407161CAC
CRC32: ccb30ebe

檔案說明符 : C:/WINDOWS/system32/stobject.dll
屬性 : A---
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 5.1.2600.5512 (xpsp.080413-2105)
說明 : Systray shell service object
著作權 : (C) Microsoft Corporation. All rights reserved.
產品版本 : 5.1.2600.5512
產品名稱 : Microsoft(R) Windows(R) Operating System
公司名稱 : Microsoft Corporation
內部名稱 : stobject
源檔案名稱 : stobject.dll
建立時間 : 2008-4-14 20:0:0
修改時間 : 2009-10-12 18:45:23
大小 : 121344 位元組 118.512 KB
MD5 : 2a9bb882b4b26a76887fbe0307c84e30
SHA1: AF4249DA2C5138AC3F3B19FDE9C9A294D2D877F9
CRC32: 8940ab51

 

卡巴斯基報為Trojan.Win32.Patched.gz

 

檔案說明符 : C:/WINDOWS/system32/qt-dx3.dll
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-10-12 18:47:55
修改時間 : 2009-10-12 18:47:55
大小 : 17920 位元組 17.512 KB
MD5 : afe31b1b7f6e6734a44be7700023e34b
SHA1: 19B9A9AF75BC34ECE6DF12754E137CD87FC198DD
CRC32: 345e68ea

 

卡巴斯基報為Trojan.Win32.Agent.cxzp

檔案說明符 : D:/cconter.exe
屬性 : --H-
數位簽章:123.cn
PE檔案:是
語言 : 中文(中國)
檔案版本 : 4.05.0005
產品版本 : 4.05.0005
產品名稱 : dfdf
公司名稱 : dfdf
內部名稱 : Mode8
源檔案名稱 : Mode8.exe
建立時間 : 2009-10-10 20:14:19
修改時間 : 2009-10-10 20:14:20
大小 : 65268 位元組 63.756 KB
MD5 : db0ddad2e2ad869ea58911c7f198c38a
SHA1: BEFC571ACB99778CD432E44F6D01F631600BDCC9
CRC32: 6ea070a6

 

卡巴斯基報為Trojan-PSW.Win32.QQFish.cv，瑞星報為Trojan.PSW.Win32.QQPass.ess