遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等2

遭遇secuers32.exe,Internet.exe,Explore.exe,pig.vbs,HBKernel.sys,ssqexd.sys等2

endurer 原創
2008-09-08 第1版

 

HBKernel.sys這個東東以前也曾遇到過，見：

fontsapcum.dll,aaudstum.sys,HBKernel.sys,Hev32_c.sys,Windows64.Sys等1

http://endurer.bokee.com/6766433.html
http://space.zdnet.com.cn/html/36/177236-1397738.html
http://blog.csdn.net/Purpleendurer/archive/2008/08/08/2788930.aspx

 

感覺問題不大~

 

運行FileInfo提取log中紅色標記的檔案資訊，運行bat_do進行打包。

 

不料bat_do找不到rar.exe，檢查發現，D:/Program Files/winrar中的winrar.exe和rar.exe都不見了，並且D:/Program Files/EditPlus 3下的editplus.exe也不見了~

 

好在電腦中還有WinRAR的安裝檔案，重新安裝了，並用WinRAR檢查，發現每個檔案夾中都有一個名為wsock32.dll的檔案，如：

 

檔案說明符 : D:/tools/wsock32.dll
屬性 : -SH-
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 5.1.2600.2180
說明 : Windows Socket 32-Bit DLL
著作權 : C) Microsoft Corporation. All rights reserved.
產品版本 : 5.1.2600.2180
產品名稱 : Microsoft(R) Windows(R) Operating System
公司名稱 : Microsoft Corporation
內部名稱 : wsock32
源檔案名稱 : wsock32.dll
建立時間 : 2008-8-21 9:34:56
修改時間 : 2008-8-21 9:20:54
大小 : 17408 位元組 17.0 KB
MD5 : 25f0a1954339694e4bb46fcca41d41c1
SHA1: 657A1268AD4EFAC28C8E97173F5B67B295FF110E
CRC32: 2f50e4fb

 

（卡巴斯基報為：Worm.Win32.AutoRun.lxv，瑞星報為：Worm.Win32.CnVampire.f）

 

使用下面的命令逐盤刪除：

attrib /s x:/wsock32.dll -h -s
del /s x:/wsock32.dll

其中x為盤符。

用FileInfo 檢測，發現進程C:/WINDOWS/System32/debug.exe對應的檔案是個假貨：

 

檔案說明符 : C:/WINDOWS/System32/debug.exe
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2002-10-7 12:0:0
修改時間 : 2002-10-7 12:0:0
大小 : 20634 位元組 20.154 KB
MD5 : 3f1bfe1b1328af93b0c1adf8cc9d84ac
SHA1: A0FB258325E9B75237433F015C81AD34F7D9F217
CRC32: 506a4064

 

（卡巴斯基報為：Trojan-PSW.Win32.QQPass.dcg，瑞星報為：Trojan.DL.Win32.Mnless.atb）

 

正宗的應該是：

檔案說明符 : C:/WINDOWS/System32/dllcache/debug.exe
屬性 : A---
數位簽章:Microsoft Corporation
PE檔案:否
建立時間 : 2002-10-7 12:0:0
修改時間 : 2002-10-7 12:0:0
大小 : 20634 位元組 20.154 KB
MD5 : 6c151a8cc2cbdac06635c38ebf564c19
SHA1: C6D4DF341FB485D944E10ABBF4099869C5E498FA
CRC32: aa41703c

 

另外，ctfmon.exe、beep.sys等系統檔案也被惡意程式檔案替換了：

 

檔案說明符 : C:/WINDOWS/system32/ctfmon.exe
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2002-10-7 12:0:0
修改時間 : 2008-9-5 15:31:58
大小 : 368640 位元組 360.0 KB
MD5 : c338ff709aa7d081514d9a3c4bfe9c58
SHA1: 12E2502A7061278F9684B4212C47C7B3C14C387D
CRC32: 1d6b1689

 

（卡巴斯基報為：Trojan.Win32.KillAV.alu）

檔案說明符 : C:/WINDOWS/system32/drivers/beep.sys
屬性 : A---
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2002-10-7 12:0:0
修改時間 : 2008-9-5 16:9:0
大小 : 16256 位元組 15.896 KB
MD5 : 17520c1ec38c2b92498be0ac75fa9729
SHA1: 7BCB155B57ADD016C1CEA91E0773BA92097F96D3
CRC32: 253b01e1

 

（卡巴斯基報為：Trojan-GameThief.Win32.OnLineGames.tbnn，DrWeb報為：Trojan.NtRootKit.1469）

 

這時應該使用sfc /scannow命令來檢修系統檔案，不過偶偷懶，採用改名替換法來處理。

 

最要命的是沒用HijackThis或卡卡安全助手修複：

 

F2 - REG: system.ini: UserInit = ＜C:/WINDOWS/system32/Userinit.exe,C:/Program Files/Common Files/System/secuers32.exe＞

 

就重啟電腦，並且鬼使神差地使用進階啟動功能表項目中的“最後一次正確的配置”項來啟動，這下好了，連登陸介面都不顯示，更別想進入案頭了。

 

連帶命令提示字元的安全模式啟動也不行了~

 

想用Windows安裝光碟片進入修復主控台

 

使用下列命令：

 

C:/>cd /windows/repair
C:/>copy *.* c:/windows/system32/config

 

用系統初始安裝時的註冊表資訊檔來覆蓋當前註冊表資訊檔

 

不料光碟機彈不出~

 

記得硬碟使用的是FAT32檔案系統，好不容易找來一張Win 98啟動磁碟片，不料軟碟機讀盤出錯~

 

又沒有啟動隨身碟，只好重裝系統了~