我的電腦表徵圖變了?原來是Trojan-Downloader.Win32.Agent.mkj替換了explorer.exe1
endurer 原創
2008-04-11 第1版
一位同事說他的電腦中了病毒,avast!不停地報病毒,360衛士沒反應,用惡意軟體清理助手(roguecleaner)掃描總發現惡意程式但清除不了。案頭上的“我的電腦”表徵圖也變了。請偶幫忙清理。
由於 avast! 不停地彈出對話方塊報告病毒,影響操作,所以先停止 avast! 的即時監控,
用惡意軟體清理助手(roguecleaner)掃描,居然發現:
pcibus.sys
pcidisk.sys
pcihdd.sys
phy.sys
puid.sys
usb32k.sys
msaclue.sys
難道是中了機器狗?
下載 pe_xscan 掃描 log 並分析,發現如下可疑項:
/===
pe_xscan 08-03-27 by Purple Endurer
2008-4-10 9:45:41
Windows XP Service Pack 2(5.1.2600)
管理使用者組
正常模式
C:/WINDOWS/ctfmon.exe * 1672 | 2008-4-10 0:38:7
C:/WINDOWS/ctfmon.exe * 3688 | 2008-4-10 0:38:7
C:/WINDOWS/ctfmon.exe * 3716 | 2008-4-10 0:38:7
C:/WINDOWS/System32/Explorer.EXE * 3740 | 2004-8-17 4:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXEO23 - 服務: mhfp (mhfp) - C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp14.tmp(自動)
O24 - ShlExecHook: [0] - {D7B21266-AA85-44b8-B516-3B1A69827400} = 0
HKLM/SHOWALL 類型非dword
===/
沒有發現惡意軟體清理助手報的東東。
由於案頭上的“我的電腦”表徵圖也變了,而且 pe_xscan 的log中,沒有發現Windows的“殼”進程:c:/windows/explorer.exe,卻有 C:/WINDOWS/System32/Explorer.EXE。懷疑電腦中了感染型病毒。
到 http://PurpleEndurer.ys168.com 下載 FileInfo 和 bat_do。
用 FileInfo 提取 C:/WINDOWS/Explorer.EXE 的資訊如下:
檔案說明符 : C:/WINDOWS/Explorer.EXE
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2004-8-17 12:0:0
訪問時間 : 2008-4-10 0:0:0
大小 : 976896 位元組 954.0 KB
MD5 : 3d1ac1ae5b34d01e2b7743568180eac0
SHA1: D147634C91030F36E4C3C8F0280B46AA55489ED0
CRC32: 2abccd63
居然沒有版本資訊,明顯不對。
用 fc 命令比較發現 C:/WINDOWS/Explorer.EXE 與 C:/WINDOWS/system32/dllcache/Explorer.EXE 相同,而與 C:/WINDOWS/system32/Explorer.EXE 不同。
下載 DrWeb CureIt! 掃描,部分結果如下:
===================================================
Dr.Web(R)大蜘蛛反病毒掃描程式 v4.44.5 (4.44.5.03270)
日誌產生時間: 2008-04-10, 09:49:39 [Administrator]
===================================================
引擎版本: 4.44 (4.44.0.09170)
引擎API版本: 2.02
[記憶體檢測] 沒有發現病毒
c:/windows/ctfmon.exe 已加殼,方式: UPACK
>c:/windows/ctfmon.exe 已加殼,方式: BINARYRES
>>c:/windows/ctfmon.exe 已加殼,方式: UPACK
>>>c:/windows/ctfmon.exe 可能已被感染了 : DLOADER.Trojan
C:/WINDOWS/explorer.exe 已加殼,方式: UPACK
>C:/WINDOWS/explorer.exe 已加殼,方式: BINARYRES
>>C:/WINDOWS/explorer.exe 已加殼,方式: UPACK
>>>C:/WINDOWS/explorer.exe 可能已被感染了 : DLOADER.Trojan
C:/WINDOWS/system32/e0.exe 已加殼,方式: UPACK
>C:/WINDOWS/system32/e0.exe 可能已被感染了 : BACKDOOR.Trojan
C:/WINDOWS/system32/e1.exe 已加殼,方式: BINARYRES
>C:/WINDOWS/system32/e1.exe 已加殼,方式: UPACK
>>C:/WINDOWS/system32/e1.exe 已被病毒感染 : Trojan.PWS.Gamania.9135 - 已刪除
C:/WINDOWS/system32/e7.exe 已加殼,方式: UPACK
>C:/WINDOWS/system32/e7.exe 已加殼,方式: BINARYRES
>>C:/WINDOWS/system32/e7.exe 已被病毒感染 : Trojan.PWS.Wsgame.4365 - 已刪除
果然不出所料,C:/WINDOWS/explorer.exe 被感染/替換了~
(未完待續)
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
