endurer 原創
2007-02-06 第1版
一位網友的電腦開機啟時彈出錯誤資訊框,說找不到檔案helper.dll,讓偶通過QQ遠程協助幫忙檢修。
用HijackThis掃描log,發現了雅虎/3721上網助手的啟動項,卸載了。
用HijackThis掃描啟動項列表,發現一些可疑服務:
/-----
StartupList report, 2007-2-6, 12:13:07
StartupList version: 1.52.2
Started from : F:/tools/HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Enumerating Windows NT/2000/XP services
========================
bhjhbjgi: system32/drivers/bhjhbjgi.sys (system)
ddajddgf: system32/drivers/ddajddgf.sys (system)
hcbiajgf: system32/drivers/hcbiajgf.sys (system)
hyrenoym: System32/DRIVERS/hyrenoym.sys (system)
-----/
對應的檔案都不存在了,到註冊表裡刪除這些服務啟動項。
手動檢查,在c:/windows下發現三個可疑檔案:
檔案說明符 : D:/test/1757.exe
屬性 : ----
擷取檔案版本資訊大小失敗!
建立時間 : 2002-2-8 12:31:42
修改時間 : 2007-2-6 12:45:52
訪問時間 : 2007-2-6 12:50:24
大小 : 53248 位元組 52.0 KB
MD5 : 904079ba8515ad11468bbb8a1f115915
是個自解壓檔案:
/-----
;以下注釋包含自解壓壓縮包指令碼命令
Setup=setup.exe
TempMode
Silent=1
Overwrite=1
-----/
檔案說明符 : D:/test/199019002.exe
屬性 : ----
擷取檔案版本資訊大小失敗!
建立時間 : 2002-2-8 12:31:42
修改時間 : 2007-2-6 12:45:52
訪問時間 : 2007-2-6 12:56:24
大小 : 53248 位元組 52.0 KB
MD5 : c035ac8901090e9b37a6914c9808445a
是個自解壓檔案:
/-----
;下面的注釋包含自解壓指令碼命令
Setup=downl.exe 199019002
TempMode
Silent=1
Overwrite=1
-----/
包含檔案:hbcast.dll,Kaspersky報為:not-a-virus:AdWare.Win32.HengBang.t
檔案說明符 : D:/test/ss10212.EXE
屬性 : ----
擷取檔案版本資訊大小失敗!
建立時間 : 2002-2-8 12:31:42
修改時間 : 2007-2-6 12:45:52
訪問時間 : 2007-2-6 13:06:24
大小 : 53248 位元組 52.0 KB
MD5 : 1e51a45c87befb1f15067bc5f50ac950
從表徵圖和檔案大小上看,像是一個灰鴿子
其實是個安裝程式,Kaspersky掃描,發現:
Trojan.Win32.Zapchast.cl
not-a-virus:AdWare.Win32.NewWeb.f
都刪除了。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
