endurer原创
2005.11.08第3版补充了Kaspersky对可疑服务的文件Distfsv.exe等的反应
2005.11.07第2版补充了瑞星关于可疑服务的文件Distfsv.exe等的回复。
2005.11.04第1版创建
*注:为了安全起见,文中恶意网址的“http://”均用“hxxp://”代替。
昨晚帮同事解决了浏览器被web.9983.com劫持及不定期弹出广告窗口的问题,这里记一下症状、分析和修复过程,并提一些建议。
同事的电脑使用Window XP,安装有金山毒霸2005。
一、症状
IE首页被改为web.9983.com,无法重新设置
无法使用注册表编辑器
开机时并不定期地弹出www.uu500.com等多个广告网页
桌面出现恶意网页
二、分析与修复
1、下载并运行瑞星注册表。用来查看EXE或TXT文件关联是否被修改了,如果被修改了,可以用它来修复。
2、到控制面板里,打开“添加删除程序”,卸载了一搜、雅虎助手等插件。
3、使用HijackThis扫描(您可以到http://endurer.ys168.com的tools\系统分析和修复里下载HijackThis ),发现并修复如下项目:
O4 - HKCU\..\Run: [IEXPLORE.EXE] IEXPLORE.EXE hxxp://www.uu500.com
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
同时发现两个可疑的服务:
Distributed File System Services: C:\WINDOWS\System32\Distfsv.exe -service
Windows Audio Services: C:\WINDOWS\System32\Winms.exe -service
把它们停止并禁用了。
用瑞星在线扫描,发现如下病毒(“瑞星杀毒助手”保存的扫描记录,您可以到到http://endurer.ys168.com的 tools\杀毒工具 里下载 “瑞星杀毒助手”):
2005-11-3 20:53:49瑞星杀毒助手
Windows XP (5.1.2600)
文件名 病毒名
C:\$NtUninstallQ1494$\3721.bat Trojan.WinREG.StartPage.d
C:\FOUND.055\FILE0010.CHK Exploit.HTML.Mht
C:\WINDOWS\system32\nt_g_dll.dll Trojan.DL.Agent.dqa
C:\WINDOWS\system32\Winms.exe Trojan.DL.Agent.dpy
C:\WINDOWS\system32\nt_plus_dll.dll Trojan.DL.Agent.dpz
C:\WINDOWS\system.hta Script.Adware.Yobous.d
(关于C:\WINDOWS\system.hta的分析,请参考:对病毒Script.Adware.Yobous.d的一些分析和建议 )
(除了C:\WINDOWS\system.hta外,其他病毒文件Kaspersky均可查杀。)
5、用“瑞星杀毒助手”删除了:
C:\$NtUninstallQ1494$\3721.bat
C:\FOUND.055\FILE0010.CHK
C:\WINDOWS\system32\Winms.exe
C:\WINDOWS\system.hta
但
C:\WINDOWS\system32\nt_g_dll.dll
C:\WINDOWS\system32\nt_plus_dll.dll
无法删除。
用“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。
6、找到可疑服务的文件:
C:\WINDOWS\System32\Distfsv.exe
C:\WINDOWS\System32\Distfsv1.dll
C:\WINDOWS\System32\Distfsv2.dll
但不能打包备份,也不能删除。
另外发现文件C:\WINDOWS\System32\autoup.t的内容为:
[UPDATE]
Ver=51016
UpDate=2005.9.20 08:37:24
FileCount=1
File1=hxxp://web.9983.com/autodown/20051016.exe
FileName1=sdt_auto_v51016.exe
FileExc1=1
MeExit=1
[hosts]
File=hxxp://web.9983.com/autodown/host.htm
hosts=1
把hxxp://web.9983.com/autodown/20051016.exe下载回来,发现此文件与Winms.exe完全相同。
7、关闭系统还原功能。具体操作可参考:【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原
8、清空IE临时文件夹。具体操作可参考:【系统修复系列之】如何 清空IE临时文件夹
9、为了获得可疑文件
C:\WINDOWS\System32\Distfsv.exe
C:\WINDOWS\System32\Distfsv1.dll
C:\WINDOWS\System32\Distfsv2.dll
重新启动计算机到安全模式(具体操作可参考:【系统修复系列之】如何 以安全模式启动 ),把这三个文件打包备份,然后删除。
10、重新启动计算机到正常模式,系统工作正常。
三、建议:
1。拒绝访问恶意网站。
大家可以把以下内容:
127.0.0.1 web.9983.com
127.0.0.1 www.uu500.com
加入hosts文件(具体操作可参考:【系统修复系列之】如何 检修 和 利用 hosts文件 )。
或者把下列网址
web.9983.com
www.uu500.com
加入拒绝访问列表(具体操作可参考:【系统修复系列之】如何 使用IE中的分级审查功能 )。
2。选择并安装好的防病毒软件并打开实时监控。 有些防病毒软件实在是中看不中用。
3。打开系统自动更新功能,并及时打系统补丁(使用Windows XP的朋友请慎重考虑)。可参考:【系统修复系列之】如何 进行系统更新/打系统补丁
4。使用Maxthon或GreenBrowser来浏览网页。
*2005.11.07补充
瑞星关于可疑服务的文件Distfsv.exe等的回复:
主题:
瑞星客户服务中心__关于病毒问题的回复
发件人:
send@rising.net.cn
发送时间:2005-11-07 13:12:51
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:autoup.t
不是病毒
2.文件名:Distfsv.exe
:)病毒名:Trojan.DL.Small.bdi
3.文件名:Distfsv1.dll
:)病毒名:Trojan.DL.Small.bdi
4.文件名:Distfsv2.dll
:)病毒名:Trojan.DL.Small.bdi
我们将在较新的17.52.0版本中处理解决,请您届时将您的瑞星软件升级到17.52.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
*2005.11.08补充
Kaspersky将Distfsv.exe、Distfsv1.dll、Distfsv2.dll报为Trojan-Downloader.Win32.Agent.yo
