endurer 原创
2007-02-26 第1版
一位同事说他的电脑工作异常,让偶帮忙检查看看。
到 http://endurer.ys168.com 下载了 HijackThis 扫描log,发现可疑项:
/-----Logfile of HijackThis v1.99.1Scan saved at 9:04:52, on 2007-2-26Platform: Windows XP SP2 (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:C:/WINDOWS/Logo1_.exeE:/QQGAME/POCKET~1/PocketRPG.exe
F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe-----/
看到 Logo1_.exe 和 rundl132.exe,很容易联想到威金/Viking。
PocketRPG.exe 这个东东用 Google搜索 没有找到相关信息,用搜狗/sogou找到2条,用baidu 也没找到。
到 http://endurer.ys168.com 下载了 瑞星杀毒助手,使用瑞星在线免费查毒扫描C盘,结果如下:
/-----2007-2-26 9:41:18 瑞星杀毒助手Windows XP Service Pack 2(5.1.2600)文件名 病毒名C:/WINDOWS/system32/drivers/339267.sys RootKit.CnsProt.aC:/WINDOWS/system32/drivers/119822.sys RootKit.CnsProt.aC:/WINDOWS/system32/drivers/199617.sys RootKit.CnsProt.aC:/WINDOWS/system32/dhgart37.dll Trojan.DL.QQHelper.emiC:/WINDOWS/system32/ntabhor.exe Trojan.PSW.Agent.ihdC:/WINDOWS/Dll.dll Worm.Viking.dv-----/
瑞星在线免费查毒虽然没有报 Logo1_.exe 和 rundl132.exe,但 pe_xscan 和 HijackThis 的 log 都没有发现进程 C:/WINDOWS/Logo1_.exe。
回来后用瑞星杀毒软件扫描,两个都报了。看来瑞星在线免费查毒,与瑞星杀毒软件相比,留了一手。
到 http://purpleendurer.ys168.com 下载了 FileInfo 提取文件信息,并用 瑞星杀毒助手 打包备份了。
文件说明符 : c:/windows/Logo1_.exe属性 : A---语言 : 中文(中国)文件版本 : 1.0.0.0说明 : 版权 : 备注 : 产品版本 : 1.0.0.0产品名称 : 公司名称 : 合法商标 : 内部名称 : 源文件名 : 创建时间 : 2007-2-17 20:8:53修改时间 : 2007-2-26 9:0:12访问时间 : 2007-2-26 0:0:0大小 : 34212 字节 33.420 KBMD5 : 97555480d38b2296f2c5aa601401b34c
瑞星报为:Worm.Viking.dv
Scanned file: Logo1_.exe - Infected
Logo1_.exe - infected by Worm.Win32.Viking.bb文件说明符 : c:/windows/rundl132.exe属性 : A---语言 : 中文(中国)文件版本 : 1.0.0.0说明 : 版权 : 备注 : 产品版本 : 1.0.0.0产品名称 : 公司名称 : 合法商标 : 内部名称 : 源文件名 : 创建时间 : 2007-2-17 20:8:55修改时间 : 2007-2-26 9:0:14访问时间 : 2007-2-26 0:0:0大小 : 34212 字节 33.420 KBMD5 : 97555480d38b2296f2c5aa601401b34c
瑞星报为:Worm.Viking.dv
Scanned file: rundl132.exe - Infected
rundl132.exe - infected by Worm.Win32.Viking.bb文件说明符 : c:/windows/Dll.dll属性 : A---获取文件版本信息大小失败!创建时间 : 2007-2-17 20:9:0修改时间 : 2007-2-26 9:0:16访问时间 : 2007-2-26 0:0:0大小 : 27648 字节 27.0 KBMD5 : 2064728420cdde016ee6b85457be28f9
瑞星报为:Worm.Viking.dv
Scanned file: Dll.dll - Infected
Dll.dll - infected by Worm.Win32.Viking.bb
Scanned file: ntabhor.exe - Infected
ntabhor.exe - infected by Trojan-Spy.Win32.Agent.iw文件说明符 : C:/WINDOWS/system32/dhgart37.dll属性 : A---语言 : 英语(美国)文件版本 : 5, 1, 2600, 2180说明 : Battery Meter Helper DLL版权 : (C) Microsoft Corporation. All rights reserved.备注 : 产品版本 : 5, 1, 2600, 2180产品名称 : 公司名称 : Microsoft Corporation合法商标 : 内部名称 : 源文件名 : 创建时间 : 2004-8-12 0:0:0修改时间 : 2004-8-12 0:0:0访问时间 : 2007-2-26 0:0:0大小 : 49152 字节 48.0 KBMD5 : 8306c2271f54cf73b61a5762b5a28ab0
Scanned file: dhgart37.dll - Infected
dhgart37.dll - infected by Trojan-Downloader.Win32.QQHelper.moKaspersky报的病毒名与 节前来烧香的熊猫 相同。看来Kaspersky的病毒特征码提取得不错。
下载江民的威金专杀工具查杀,发现一大堆程序文件被感染:
在此前的测试中曾发现江民的威金专杀工具有漏杀的现象,因为时间的关系,这里不再用其它杀软扫描了。
其它的用瑞星杀毒助手删除了。
用 HijackThis 修复上列可疑项。
关闭所有程序,运行Windows附件中的磁盘清理程序做个扫除。
顺便测试了一下年前写的分析 pe_xscan 的 log 的网页,发现效果还不错。
