endurer 原創
2009-06-20 第1版
昨天又有一位朋友的電腦中的IE瀏覽器被hxxp://www.9348.cn劫持,而且癥狀比前一位還要重:輸入Windows登入密碼後,要等N久才能進入案頭,有時無法拔號上網,偶爾能上網,又不定期彈廣告……系統巨慢~
以帶命令列提示符的安全模式進入Windows,使用電腦中原來存有的老版本的pe_xscan 掃描 log 並分析,發現如下可疑項:
pe_xscan 08-07-01 by Purple Endurer
2009-6-19 18:0:32
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理使用者組
安全模式
F3 - REG: win.ini: load = flymy.exe
O4 - HKLM/../RunOnce: [EgwM] %systemroot%/system32/rundll32.exe %systemroot%/system32/vrcm.dll,DllRegisterServer
O4 - HKLM/../Policies/Explorer/Run: [ming9bstart] C:/WINDOWS/system/ming9b090423.exe
O21 - SSODL - WebCheck(WebCheck) - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} = C:/WINDOWS/system32/webcheck.dll | 2007-5-31 16:0:0
O23 - 服務: jyavhsh (jyavhsh) - system32/drivers/iyeap.sys (引導)
O23 - 服務: klan (klan) - C:/WINDOWS/system32/drivers/klan.sys | 2009-6-12 9:13:17(自動)
O26 - IFEO: 360hotfix.exe -> ntsd -d
O26 - IFEO: 360rpt.exe -> ntsd -d
O26 - IFEO: 360safe.exe -> ntsd -d
O26 - IFEO: 360safebox.exe -> ntsd -d
O26 - IFEO: 360tray.exe -> ntsd -d
O26 - IFEO: agentsvr.exe -> ntsd -d
O26 - IFEO: apvxdwin.exe -> ntsd -d
O26 - IFEO: ast.exe -> ntsd -d
O26 - IFEO: avcenter.exe -> ntsd -d
O26 - IFEO: avengine.exe -> ntsd -d
O26 - IFEO: avgnt.exe -> ntsd -d
O26 - IFEO: avguard.exe -> ntsd -d
O26 - IFEO: avltmain.exe -> ntsd -d
O26 - IFEO: avp32.exe -> ntsd -d
O26 - IFEO: avtask.exe -> ntsd -d
O26 - IFEO: bdagent.exe -> ntsd -d
O26 - IFEO: bdwizreg.exe -> ntsd -d
O26 - IFEO: boxmod.exe -> ntsd -d
O26 - IFEO: ccapp.exe -> ntsd -d
O26 - IFEO: ccenter.exe -> ntsd -d
O26 - IFEO: ccevtmgr.exe -> ntsd -d
O26 - IFEO: ccregvfy.exe -> ntsd -d
O26 - IFEO: ccsetmgr.exe -> ntsd -d
O26 - IFEO: cqw32.exe -> ntsd -d
O26 - IFEO: DrvAnti.exe -> ntsd -d
O26 - IFEO: egui.exe -> ntsd -d
O26 - IFEO: ekrn.exe -> ntsd -d
O26 - IFEO: enc98.EXE -> ntsd -d
O26 - IFEO: extdb.exe -> ntsd -d
O26 - IFEO: frameworkservice.exe -> ntsd -d
O26 - IFEO: frwstub.exe -> ntsd -d
O26 - IFEO: guardfield.exe -> ntsd -d
O26 - IFEO: iparmor.exe -> ntsd -d
O26 - IFEO: kaccore.exe -> ntsd -d
O26 - IFEO: kasmain.exe -> ntsd -d
O26 - IFEO: kav32.exe -> ntsd -d
O26 - IFEO: kavstart.exe -> ntsd -d
O26 - IFEO: kavsvc.exe -> ntsd -d
O26 - IFEO: kavsvcui.exe -> ntsd -d
O26 - IFEO: kislnchr.exe -> ntsd -d
O26 - IFEO: kissvc.exe -> ntsd -d
O26 - IFEO: kmailmon.exe -> ntsd -d
O26 - IFEO: knownsvr.exe -> ntsd -d
O26 - IFEO: kpfw32.exe -> ntsd -d
O26 - IFEO: kpfwsvc.exe -> ntsd -d
O26 - IFEO: kregex.exe -> ntsd -d
O26 - IFEO: kvfw.exe -> ntsd -d
O26 - IFEO: kvmonxp.exe -> ntsd -d
O26 - IFEO: kvmonxp.kxp -> ntsd -d
O26 - IFEO: kvol.exe -> ntsd -d
O26 - IFEO: kvprescan.exe -> ntsd -d
O26 - IFEO: kvsrvxp.exe -> ntsd -d
O26 - IFEO: kvwsc.exe -> ntsd -d
O26 - IFEO: kvxp.kxp -> ntsd -d
O26 - IFEO: kwatch.exe -> ntsd -d
O26 - IFEO: livesrv.exe -> ntsd -d
O26 - IFEO: makereport.exe -> ntsd -d
O26 - IFEO: mcagent.exe -> ntsd -d
O26 - IFEO: mcdash.exe -> ntsd -d
O26 - IFEO: mcdetect.exe -> ntsd -d
O26 - IFEO: mcshield.exe -> ntsd -d
O26 - IFEO: mctskshd.exe -> ntsd -d
O26 - IFEO: mcvsescn.exe -> ntsd -d
O26 - IFEO: mcvsshld.exe -> ntsd -d
O26 - IFEO: mghtml.exe -> ntsd -d
O26 - IFEO: naprdmgr.exe -> ntsd -d
O26 - IFEO: navapsvc.exe -> ntsd -d
O26 - IFEO: navapw32.exe -> ntsd -d
O26 - IFEO: navw32.exe -> ntsd -d
O26 - IFEO: nmain.exe -> ntsd -d
O26 - IFEO: nod32.exe -> ntsd -d
O26 - IFEO: nod32krn.exe -> ntsd -d
O26 - IFEO: nod32kui.exe -> ntsd -d
O26 - IFEO: npfmntor.exe -> ntsd -d
O26 - IFEO: oasclnt.exe -> ntsd -d
O26 - IFEO: pavsrv51.exe -> ntsd -d
O26 - IFEO: pfw.exe -> ntsd -d
O26 - IFEO: psctrls.exe -> ntsd -d
O26 - IFEO: psimreal.exe -> ntsd -d
O26 - IFEO: psimsvc.exe -> ntsd -d
O26 - IFEO: qqdoctormain.exe -> ntsd -d
O26 - IFEO: ras.exe -> ntsd -d
O26 - IFEO: ravmon.exe -> ntsd -d
O26 - IFEO: ravmond.exe -> ntsd -d
O26 - IFEO: ravstub.exe -> ntsd -d
O26 - IFEO: ravtask.exe -> ntsd -d
O26 - IFEO: rfwcfg.exe -> ntsd -d
O26 - IFEO: rfwmain.exe -> ntsd -d
O26 - IFEO: rfwproxy.exe -> ntsd -d
O26 - IFEO: rfwsrv.exe -> ntsd -d
O26 - IFEO: rsagent.exe -> ntsd -d
O26 - IFEO: rsmain.exe -> ntsd -d
O26 - IFEO: rsnetsvr.exe -> ntsd -d
O26 - IFEO: rssafety.exe -> ntsd -d
O26 - IFEO: rstray.exe -> ntsd -d
O26 - IFEO: safebank.exe -> ntsd -d
O26 - IFEO: safeboxtray.exe -> ntsd -d
O26 - IFEO: scan32.exe -> ntsd -d
O26 - IFEO: scanfrm.exe -> ntsd -d
O26 - IFEO: sched.exe -> ntsd -d
O26 - IFEO: seccenter.exe -> ntsd -d
O26 - IFEO: secnotifier.exe -> ntsd -d
O26 - IFEO: SetupLD.exe -> ntsd -d
O26 - IFEO: shstat.exe -> ntsd -d
O26 - IFEO: smartup.exe -> ntsd -d
O26 - IFEO: sndsrvc.exe -> ntsd -d
O26 - IFEO: spbbcsvc.exe -> ntsd -d
O26 - IFEO: symlcsvc.exe -> ntsd -d
O26 - IFEO: tbmon.exe -> ntsd -d
O26 - IFEO: uihost.exe -> ntsd -d
O26 - IFEO: ulibcfg.exe -> ntsd -d
O26 - IFEO: updaterui.exe -> ntsd -d
O26 - IFEO: uplive.exe -> ntsd -d
O26 - IFEO: vcr32.exe -> ntsd -d
O26 - IFEO: vcrmon.exe -> ntsd -d
O26 - IFEO: vptray.exe -> ntsd -d
O26 - IFEO: vsserv.exe -> ntsd -d
O26 - IFEO: vstskmgr.exe -> ntsd -d
O26 - IFEO: vstskmgr.exe -> ntsd -d
O26 - IFEO: webproxy.exe -> ntsd -d
O26 - IFEO: xcommsvr.exe -> ntsd -d
O26 - IFEO: xnlscn.exe -> ntsd -d
O26 - IFEO: 修複工具.exe -> ntsd -d
O29 - HKCU-Start Page = hxxp://www.9348.cn/?205428
O29 - HKLM-Start Page = hxxp://www.9348.cn/?205428HKLM/SHOWALL 值非1
從log上看與 IE首頁被改為hxxp://www.9348.cn?原來是QQ2009.exe,TXP1atform.exe,svchoct.exe,klan.sys等作怪1(http://blog.csdn.net/Purpleendurer/archive/2009/06/13/4267188.aspx)差不多。
由於這位朋友的電腦中裝有殺毒軟體avast,所以病毒對系統的修改和破壞沒有上一位朋友那麼厲害。
附部分惡意檔案資訊:
檔案說明符 : C:/WINDOWS/system32/flymy.exe
屬性 : A
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-12 17:13:25
修改時間 : 2009-6-12 17:13:26
大小 : 69632 位元組 68.0 KB
MD5 : 5d99a5b6c15646421361fbdb8ed12d3e
SHA1: 5C080BBE433DBE024603F37F20DD5D213A026C12
CRC32: d0c0ccdd
卡巴斯基報為:Trojan-Spy.Win32.Agent.avxl
線上掃描結果:http://www.virustotal.com/analisis/b081ef35f8969a82f59655bc45ced390fa71d58bc8e8fde757f7ad26db56afa6-1245467239
檔案說明符 : C:/uninstc.exe
屬性 : A
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-13 0:49:24
修改時間 : 2009-6-13 18:27:52
大小 : 82439 位元組 80.519 KB
MD5 : ae9cd5610928479142e12c67f093349b
SHA1: 3040D388A6247C0511FB0E0BDCB3B9CAE46188AB
CRC32: 79557f47
卡巴斯基報為:Trojan.Win32.Pakes.nkm,瑞星報為:Win32.BMW.ba
線上掃描結果:http://www.virustotal.com/analisis/e10b74fb5d72ab2ca4f8520070c5704b76752cf9e76053f56afa7ba6425b64f8-1245052825
檔案說明符 : C:/uninst2.exe
屬性 : A
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-13 0:49:26
修改時間 : 2009-6-13 18:27:58
大小 : 266896 位元組 260.656 KB
MD5 : cfc3f6cb15d2e0bcf122860dfefeec5c
SHA1: 674FA0B1360F26E32A7F53D4864806271B5D52A0
CRC32: 92a5a51a
卡巴斯基報為:Trojan.Win32.Agent.bsmy,瑞星報為:Trojan.Win32.Nodef.ehm
線上掃描結果:http://www.virustotal.com/analisis/862bc928029b43674389df19bcc55383f67de131597c1c5e0fd95fda295d95e6-1245467735
檔案說明符 : C:/WINDOWS/system/nb9ming32c090423.dll
屬性 : -SH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-13 0:49:32
修改時間 : 2009-6-13 18:27:56
大小 : 110592 位元組 108.0 KB
MD5 : d035bd33150a7d7c3b5fbfc3a8e4e127
SHA1: 0105FDC0C4038D5A012B6F9AD396277559F1142D
CRC32: 511ba43d
卡巴斯基報為:Worm.Win32.AutoRun.afcb,瑞星報為:Trojan.DL.Win32.MyDown.ciw
線上掃描結果:http://www.virustotal.com/analisis/616e2e917e40f5441d4ad2d939b2e569d98a44075e92e526dfc8e38eaedbf57d-1245468119
檔案說明符 : C:/WINDOWS/system32/fly1930.dll
屬性 : A
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 1, 0, 0, 1
說明 : MyTest3
著作權 : 著作權 (C) 2008
備忘 :
產品版本 : 1, 0, 0, 1
產品名稱 : MyTest3 Dynamic Link Library
公司名稱 :
合法商標 :
內部名稱 : MyTest3
源檔案名稱 : MyTest3.DLL
建立時間 : 2009-6-12 17:13:23
修改時間 : 2009-6-12 17:13:24
大小 : 22528 位元組 22.0 KB
MD5 : 8630677285c3902c773ad8f88a25e1d5
SHA1: 4B8E2B1EA00A366DCEDC3A2FCEDA363B24500D33
CRC32: fa524417
卡巴斯基報為:Trojan-Spy.Win32.Agent.avxk,瑞星報為:AdWare.Win32.Undef.ezf
線上掃描結果:http://www.virustotal.com/analisis/45c872767fa18ca00fcc6f1d1ec394a0a0d4537e96331bf275ea82671d0644d0-1245468344
檔案說明符 : C:/WINDOWS/system32/HtmlPeek.dll
屬性 : A
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-12 17:31:37
修改時間 : 2009-6-12 17:32:2
大小 : 358912 位元組 350.512 KB
MD5 : 23361bde2776a366f9c01abcd95e37e6
SHA1: 46BCDA3337B9FE473DE132FF2FA607F491FF3DA8
CRC32: 5abe106f
卡巴斯基報為:not-a-virus:AdWare.Win32.Agent.okc
線上掃描結果:http://www.virustotal.com/analisis/52466afcb4d0eb0a2e5251cdbef978428b177b28f2c9c2343d308da33689d470-1245468623
檔案說明符 : C:/WINDOWS/system32/drivers/TXP1atform.exe
屬性 : -
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-13 0:49:26
修改時間 : 2009-6-13 18:27:52
大小 : 82439 位元組 80.519 KB
MD5 : ae9cd5610928479142e12c67f093349b
SHA1: 3040D388A6247C0511FB0E0BDCB3B9CAE46188AB
CRC32: 79557f47
卡巴斯基報為:Trojan.Win32.Pakes.nkm,瑞星報為:Win32.BMW.ba
線上掃描結果:http://www.virustotal.com/analisis/e10b74fb5d72ab2ca4f8520070c5704b76752cf9e76053f56afa7ba6425b64f8-1245052825
檔案說明符 : C:/WINDOWS/system32/drivers/klan.sys
屬性 : ASH-
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2009-6-12 17:13:17
修改時間 : 2009-6-19 17:58:8
大小 : 3200 位元組 3.128 KB
MD5 : c4beb90047eb14e5b6fc8a69b94bb1bb
SHA1: 655FDA962139AE597A2E66916AAA4148BF472A71
CRC32: 827c31c2
卡巴斯基報為:Rootkit.Win32.Agent.lnw,瑞星報為:RootKit.Win32.Mnless.axe
線上掃描結果:http://www.virustotal.com/analisis/66b00ceae1c8ce65ae21af0fb6fb9ba1a13d01d02761e1b002f95bd310715a9f-1245469338
檔案說明符 : C:/WINDOWS/system32/vrcm.dll
屬性 : -
數位簽章:否
PE檔案:是
擷取檔案版本資訊大小失敗!
建立時間 : 2007-6-1 0:0:0
修改時間 : 2007-6-1 0:0:0
大小 : 32768 位元組 32.0 KB
MD5 : a862eafa4b1f487ccc9fc6239af110b3
SHA1: 48A653D8B2AEF2AD1B33EFB6B02FBF9691B56771
CRC32: edd3d5dd
卡巴斯基報為:Trojan.Win32.Agent.cmde
線上掃描結果:http://www.virustotal.com/analisis/1d9316d1a550afb92e2c714ff1f37f43f0f43ff6eaa00373c14ca67bb14d4f03-1245469600
檔案說明符 : C:/WINDOWS/system/xz.exe
屬性 : A
數位簽章:否
PE檔案:是
語言 : 中文(中國)
檔案版本 : 2.0
說明 : 情se專用播放器
著作權 : hxxp://www.crdy.org
備忘 : 情se專用播放器
建立時間 : 2003-12-11 0:3:14
修改時間 : 2003-12-11 0:3:16
大小 : 944640 位元組 922.512 KB
MD5 : ec877479a5cbd694e626f0ea282abc59
SHA1: B78783F93C117A20ED808D481B60D65AAAEDBE75
CRC32: e26bf5b9
與http://blog.csdn.net/Purpleendurer/archive/2009/05/19/4201761.aspx中的不同
檔案說明符 : C:/WINDOWS/system32/npkcrypt.vxd
屬性 : A
數位簽章:否
PE檔案:否
建立時間 : 2008-9-7 14:1:21
修改時間 : 2009-6-13 0:20:10
大小 : 25730 位元組 25.130 KB
MD5 : aead38aceabaf357b1a8e9a3fa81d0dc
SHA1: CF08FB2945ECEC9FB051ADC2DAC9C519D7CD86BD
CRC32: a9ff504d
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
