续:网友的电脑中发现scvhsot.exe的进程和启动项

本文记录了一次帮助网友清除名为scvhsot.exe的恶意进程的经历,使用pe_xscan工具扫描并发现了多个可疑文件和服务。通过进一步分析,确定scvhsot.exe为新型变种,并给出了具体的清理步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

endurer 原创

2006-12-31 第1

今天通过QQ远程协助

网友的电脑中发现scvhsot.exe的进程和启动项
http://blog.youkuaiyun.com/Purpleendurer/archive/2006/12/30/1469853.aspx
http://endurer.bokee.com/6002927.html

中的网友。

用 pe_xscan 扫描 log,发现如下可疑项:

/==========
pe_xscan by Purple Endurer
2006-12-31 8:49:22
Windows XP Service Pack 2(5.1.2600)
非管理员用户组

C:/Program Files/Symantec AntiVirus/DefWatch.exe*1772
C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL
2004-8-8 11:33:53
ProductName : irJIT
ProductVersion : 5, 1, 2600, 2709
FileDescription : Microsoft irJIT Module
LegalCopyright : (C) Microsoft Corporation. All rights reserved.
FileVersion : 5, 1, 2600, 2709
CompanyName : Microsoft Corporation
LegalTradeMarks :
InternalName : IRJIT
OriginalFileName : IRJIT.dll

D:/GGGG/lyl/安装文件/Tencent/QQ/QQ.exe*1252
C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL
2004-8-8 11:33:53
ProductName : irJIT
ProductVersion : 5, 1, 2600, 2709
FileDescription : Microsoft irJIT Module
LegalCopyright : (C) Microsoft Corporation. All rights reserved.
FileVersion : 5, 1, 2600, 2709
CompanyName : Microsoft Corporation
LegalTradeMarks :
InternalName : IRJIT
OriginalFileName : IRJIT.dll


C:/Program Files/Internet Explorer/iexplore.exe*2336
C:/Program Files/Common Files/CPUSH/cpush.dll*2006-12-15 14:47:2
ProductName :
ProductVersion : 1.0.2.0
FileDescription :
LegalCopyright :
FileVersion : 1.0.2.0
CompanyName :
LegalTradeMarks :
InternalName : cpush.dll
OriginalFileName : cpush.dll
C:/WINDOWS/system32/SCIntruder.dll*2006-12-25 14:0:18


O2 - BHO CAdLogic Object - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:/Program Files/Common Files/CPUSH/cpush.dll

O2 - BHO WinSC Class - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:/WINDOWS/system32/SCIntruder.dll

O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe

D:/autorun.inf
/-----
[AutoRun] open=sss.exe
shellexecute=sss.exe
shell/Auto/command=sss.exe
-----/
E:/autorun.inf
/-----
[AutoRun] open=sss.exe
shellexecute=sss.exe
shell/Auto/command=sss.exe
-----/

O23 - 服务: 00007696 (00007696) - system32/drivers/00007696.SYS(引导)

O23 - 服务: apzgvz94 (apzgvz94) - System32/DRIVERS/apzgvz94.sys(引导)

O23 - 服务: djbicdib (djbicdib) - system32/drivers/djbicdib.sys(引导)

O23 - 服务: lDOMANE (Windows Install Helper) - C:/WINDOWS/SYSTEM32/RUNDLL32.EXE C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL,Export 1087(自动启动)
==========/

用的 pe_xscan 不是最新版本的,log 格式不是很好-_-!


scvhsot.exe进程已经被网友用任务管理器终止了。

http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。

用 FileInfo 提取下列文件信息,bat_do把文件打包备份后删除,删除不掉的,用下次启动时执行来解决。

文件说明符 : C:/WINDOWS/system32/SCIntruder.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-29 8:39:46
修改时间 : 2006-12-25 14:0:18
访问时间 : 2006-12-31 9:2:47
大小 : 105984 字节 103.512 KB
MD5 : 8b6fa712a16e3d617b9a65e09e1800cf


文件说明符 : C:/WINDOWS/system32/scvhsot.exe
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2006-12-23 21:34:38
修改时间 : 2006-12-23 21:34:38
访问时间 : 2006-12-31 9:4:28
大小 : 37376 字节 36.512 KB
MD5 : 246cc5b5932f1be326a8fdc8478cb315

scvhsot.exe 的MD5值与

遭遇Trojan.DL.Multi.wfg(sss.exe,SCVHOST.EXE)等
http://endurer.bokee.com/5980310.html
http://blog.youkuaiyun.com/Purpleendurer/archive/2006/12/22/1454383.aspx

中的不同,是个新变种,Kaspersky 6.0 2006-12-26 13:08:50病毒库不能查杀。

因为时间关系,没有获取 O23服务 中的文件。

用WinRAR从D盘开始检查所有硬盘分区, 删除autorun.inf和sss.exe。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值