挖到进程会隐身的病毒文件Update.exe(第1版)

王朝other·作者佚名  2006-01-10
窄屏简体版  字體: |||超大  

endurer原创

2005.12.2第1版

以前在一些朋友发的HijackThis发现过这个东东的启动项。

今天在一位网友的电脑上,抓到了这个东东的文件。

HijackThis扫描的LOG为:

Logfile of HijackThis v1.99.1

Scan saved at 17:27:26, on 2005-12-21

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\KAV6\KWatch.EXE

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\KAV6\KPfwSvc.EXE

C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\SAN\diskman.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\conime.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\WINDOWS\system32\dllcache\msconfig.exe

C:\Program Files\WinRAR\WinRAR.exe

F:\TOOLS\HijackThis.exe

O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll

O4 - HKLM\..\Run: [Update] C:\WINDOWS\system32\Update.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\WINDOWS\system32\shdocvw.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68

O17 - HKLM\System\CS1\Services\Tcpip\..\{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68

O17 - HKLM\System\CS2\Services\Tcpip\..\{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68

O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\KAV6\KPfwSvc.EXE

O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\KAV6\KWatch.EXE

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Universal Disk Manager - Unknown owner - C:\Program Files\Common Files\SAN\diskman.exe

注意:LOG中的进程列表中没有C:\WINDOWS\system32\Update.exe,在Windows的任务管理器中也看不到名为Update.exe的进程。

不过在IceSword中可以看到C:\WINDOWS\system32\Update.exe。

《您可以到http://endurer.ys168.com 的 tools\在系统分析和修复 里下载到IceSword。》

把此电脑上的金山毒霸升级到最新版本,再扫描C:\WINDOWS\system32\Update.exe此文件,没有反应。

多引擎扫描上传文件1 http://virusscan.jotti.org/扫描的结果:

File:

update.exe

Status:

INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5

54f60d32855b1d26f57de353936fde62

Packers detected:

-

Scanner results

AntiVir

Found Trojan/Dldr.QQHelpe.c.1

ArcaVir

Found Trojan.Downloader.Qqhelper.H

Avast

Found nothing

AVG Antivirus

Found Downloader.Generic.NDM

BitDefender

Found nothing

ClamAV

Found Trojan.Downloader.Agent-208

Dr.Web

Found Trojan.StartPage.1178

F-Prot Antivirus

Found nothing

Fortinet

Found Dloader.AD!tr

Kaspersky Anti-Virus

Found Trojan-Downloader.Win32.QQHelper.h

NOD32

Found nothing

Norman Virus Control

Found nothing

UNA

Found nothing

VBA32

Found Trojan-Downloader.Win32.QQHelper.h

因为时间关系,此病毒的一些相关文件还没有挖完。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有  導航