endurer 原创
2006-12-31 第1版
今天通过QQ远程协助
网友的电脑中发现scvhsot.exe的进程和启动项
http://blog.youkuaiyun.com/Purpleendurer/archive/2006/12/30/1469853.aspx
http://endurer.bokee.com/6002927.html
中的网友。
用 pe_xscan 扫描 log,发现如下可疑项:
/==========
pe_xscan by Purple Endurer
2006-12-31 8:49:22
Windows XP Service Pack 2(5.1.2600)
非管理员用户组
C:/Program Files/Symantec AntiVirus/DefWatch.exe*1772
C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL
2004-8-8 11:33:53
ProductName : irJIT
ProductVersion : 5, 1, 2600, 2709
FileDescription : Microsoft irJIT Module
LegalCopyright : (C) Microsoft Corporation. All rights reserved.
FileVersion : 5, 1, 2600, 2709
CompanyName : Microsoft Corporation
LegalTradeMarks :
InternalName : IRJIT
OriginalFileName : IRJIT.dll
D:/GGGG/lyl/安装文件/Tencent/QQ/QQ.exe*1252
C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL
2004-8-8 11:33:53
ProductName : irJIT
ProductVersion : 5, 1, 2600, 2709
FileDescription : Microsoft irJIT Module
LegalCopyright : (C) Microsoft Corporation. All rights reserved.
FileVersion : 5, 1, 2600, 2709
CompanyName : Microsoft Corporation
LegalTradeMarks :
InternalName : IRJIT
OriginalFileName : IRJIT.dll
C:/Program Files/Internet Explorer/iexplore.exe*2336
C:/Program Files/Common Files/CPUSH/cpush.dll*2006-12-15 14:47:2
ProductName :
ProductVersion : 1.0.2.0
FileDescription :
LegalCopyright :
FileVersion : 1.0.2.0
CompanyName :
LegalTradeMarks :
InternalName : cpush.dll
OriginalFileName : cpush.dll
C:/WINDOWS/system32/SCIntruder.dll*2006-12-25 14:0:18
O2 - BHO CAdLogic Object - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:/Program Files/Common Files/CPUSH/cpush.dll
O2 - BHO WinSC Class - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - C:/WINDOWS/system32/SCIntruder.dll
O4 - HKLM/../Run: [QQKAV] C:/WINDOWS/system32/scvhsot.exe
D:/autorun.inf
/-----
[AutoRun] open=sss.exe
shellexecute=sss.exe
shell/Auto/command=sss.exe
-----/
E:/autorun.inf
/-----
[AutoRun] open=sss.exe
shellexecute=sss.exe
shell/Auto/command=sss.exe
-----/
O23 - 服务: 00007696 (00007696) - system32/drivers/00007696.SYS(引导)
O23 - 服务: apzgvz94 (apzgvz94) - System32/DRIVERS/apzgvz94.sys(引导)
O23 - 服务: djbicdib (djbicdib) - system32/drivers/djbicdib.sys(引导)
O23 - 服务: lDOMANE (Windows Install Helper) - C:/WINDOWS/SYSTEM32/RUNDLL32.EXE C:/WINDOWS/SYSTEM32/WBEM/GUBVQ.DLL,Export 1087(自动启动)
==========/
用的 pe_xscan 不是最新版本的,log 格式不是很好-_-!
scvhsot.exe进程已经被网友用任务管理器终止了。
到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。
用 FileInfo 提取下列文件信息,bat_do把文件打包备份后删除,删除不掉的,用下次启动时执行来解决。
文件说明符 : C:/WINDOWS/system32/SCIntruder.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-29 8:39:46
修改时间 : 2006-12-25 14:0:18
访问时间 : 2006-12-31 9:2:47
大小 : 105984 字节 103.512 KB
MD5 : 8b6fa712a16e3d617b9a65e09e1800cf
文件说明符 : C:/WINDOWS/system32/scvhsot.exe
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2006-12-23 21:34:38
修改时间 : 2006-12-23 21:34:38
访问时间 : 2006-12-31 9:4:28
大小 : 37376 字节 36.512 KB
MD5 : 246cc5b5932f1be326a8fdc8478cb315
scvhsot.exe 的MD5值与
遭遇Trojan.DL.Multi.wfg(sss.exe,SCVHOST.EXE)等
http://endurer.bokee.com/5980310.html
http://blog.youkuaiyun.com/Purpleendurer/archive/2006/12/22/1454383.aspx
中的不同,是个新变种,Kaspersky 6.0 2006-12-26 13:08:50病毒库不能查杀。
因为时间关系,没有获取 O23服务 中的文件。
用WinRAR从D盘开始检查所有硬盘分区, 删除autorun.inf和sss.exe。