anymie360.exe,anymie360.dll,b770ca2.sys,Beep.sys,msiffei.sys等2

anymie360.exe,anymie360.dll,b770ca2.sys,Beep.sys,msiffei.sys等2

 

endurer 原创
2009-02-09 第1版

 

 

（续1）

 

从pe_xscan的log中，我们可以看到：

这个病毒使用了映像劫持技术阻止杀毒软件、任务管理器等程序的启动

替换了beep.sys，将系统c:/windows/system32/rpcss.dll 改名为 C:/WINDOWS/system32/spcss.dll，加以替换。

到http://purpleendurer.ys168.com下载 FileInfo 和 bat_do。

用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息；用 bat_do 打包备份，延时删除，改所选文件名，再延时删除。

将 C:/WINDOWS/system32下的spcss.dll 改名为 rpcss.dll

重启电脑，运行注册表编辑器regedit，删除阻止卡卡安全肋手启动的O26项。

启动卡卡安全肋手清理病毒启动项，卸载瑞星杀毒软件

重启电脑再次下载安装瑞星……

 

 

C:/WINDOWS/system32/sfc_os.dll
C:/WINDOWS/system32/mswsock.dll
C:/WINDOWS/system32/DNSAPI.dll

 

都没有通过数字签名认证，但找不到文件替换，先留着罢

 

附

 

部分病毒文件信息：

 

文件说明符 : C:/WINDOWS/system32/jklgkjfl.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 30208 字节 29.512 KB
MD5 : 98cedb865c0b0a2baae36970e31e9416
SHA1: FEBC4F1F5074BE1368F741C3D1F9FE2C19C9C1CE
CRC32: 7ca75d5e
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unbm，瑞星报为：Trojan.Win32.GameOL.am
 
文件说明符 : C:/WINDOWS/system32/poihnjmn.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 29696 字节 29.0 KB
MD5 : 98a7522ae4f1e7342e8a48e6fcd6f058
SHA1: 96EE65A5885D0D8B3B0CF8A8D82E6271CD03BBAC
CRC32: 93dc8515
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.bkpd，瑞星报为：Trojan.PSW.Win32.GameOL.ttl
 
文件说明符 : C:/WINDOWS/system32/lbddfjfl.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 36864 字节 36.0 KB
MD5 : 0e2472a1c82ed1def80503098047e398
SHA1: 19AF54D44E62939D695B5353065E27C775D310F4
CRC32: d8fd3cf2
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.ulur，瑞星报为：Trojan.PSW.Win32.GameOL.tyy
 
文件说明符 : C:/WINDOWS/system32/opehnmaa.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 47104 字节 46.0 KB
MD5 : 893fac61c7ed0471a556ac53759b15b0
SHA1: EBCD81D8437707CF70C1362051B3730B487F9792
CRC32: f62afad0
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.uiwr，瑞星报为：Trojan.PSW.Win32.GameOL.ttl
 
文件说明符 : C:/WINDOWS/system32/bjoligli.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 36864 字节 36.0 KB
MD5 : 77813848fdeb362306d54d5520b29fb4
SHA1: 766CCA54BEE5D3B15DA34EBBB66BDAB0B83E746E
CRC32: 663e7a60
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unuh，瑞星报为：Trojan.PSW.Win32.GameOL.udx
 
文件说明符 : C:/WINDOWS/system32/boddhlba.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 245760 字节 240.0 KB
MD5 : 99cee89af832660f8d9696c0828bbbbf
SHA1: F4508AEEDA817A6721A352FF1C22E314E6E156BB
CRC32: 19a1c4f6
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unxp，瑞星报为：Trojan.PSW.Win32.GameOL.ttl
 
文件说明符 : C:/WINDOWS/system32/idmfgmib.dll
属性 : --H-
数字签名:否
PE文件:未能打开文件以读
创建时间 : 2009-2-3 8:33:17
修改时间 : 2009-2-3 8:33:17
大小 : 0 字节
 
文件说明符 : C:/WINDOWS/system32/pfjidcok.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 245760 字节 240.0 KB
MD5 : 2855c4e40f0e6334046c302c7f2de709
SHA1: F9BF328B4E15EE9A13B66F76143CAD5915B4C538
CRC32: 9fdb890f
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unyi，瑞星报为：Trojan.PSW.Win32.GameOL.udx
 
文件说明符 : C:/WINDOWS/system32/dafhlghg.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 245760 字节 240.0 KB
MD5 : c05deeb68cd9cc40fb252199464dc567
SHA1: D2E06F270F2C994D7F3321D7FDF98D3CB17598C0
CRC32: 7f455ed8
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.uncf，瑞星报为：Trojan.PSW.Win32.GameOL.ugd
 
文件说明符 : C:/WINDOWS/system32/fohdomai.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 225280 字节 220.0 KB
MD5 : 384b32a5b4f3209960c1c7cfb9da3630
SHA1: 1E31DAC4C7EAF62D5334A05002AB7EE83F184F26
CRC32: 8f79f88c
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unal，瑞星报为：Trojan.PSW.Win32.GameOL.udn
 
 
文件说明符 : C:/WINDOWS/system32/mpefkedo.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 40960 字节 40.0 KB
MD5 : 4a34f3dddc41079c170bc6c8f3441d09
SHA1: DF24C2BB9212A1167A0348348C522DDC6F2523D2
CRC32: 006282df
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unsp，瑞星报为：Trojan.PSW.Win32.GameOL.uec
 
文件说明符 : C:/WINDOWS/system32/mcikcpde.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 40960 字节 40.0 KB
MD5 : 3967396abb012bca8110b7872d40cd53
SHA1: A37D39998779EB53F07092937686FECA5C615C85
CRC32: ee06e526
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unaj，瑞星报为：Trojan.PSW.Win32.GameOL.udn
 
文件说明符 : C:/WINDOWS/system32/hgfoannf.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 40960 字节 40.0 KB
MD5 : 376718f7e1bfd11ca5571728b487621d
SHA1: 64FCE36BF0EB34B02F1EDF5C609F4F6C49E3FD27
CRC32: 824cb963
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.unbp，瑞星报为：Trojan.PSW.Win32.GameOL.udn
 
文件说明符 : C:/WINDOWS/system32/eapjpedk.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-13 10:56:2
大小 : 29696 字节 29.0 KB
MD5 : 1d0914c976977dcb050891fe20fa0711
SHA1: 7AC52D1C0785E21D66DB04AB9EF78044DF142F97
CRC32: 8f656939
 
卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.ujrl，瑞星报为：Trojan.PSW.Win32.GameOL.ttl
 
文件说明符 : C:/WINDOWS/system32/DFB3DAC5.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-2-2 17:55:3
修改时间 : 2009-2-2 17:55:3
大小 : 16496 字节 16.112 KB
MD5 : d50236f107fc92aeea386f30f2c3ddbf
SHA1: FD4B44BDB80B80FEA057DD1D679CEF1DDF271425
CRC32: c1a0c6f0
 
卡巴斯基报为：Trojan-GameThief.Win32.Magania.anne，瑞星报为：Trojan.Win32.GameOL.l
 
文件说明符 : c:/windows/system32/rpcss.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-14 20:0:0
大小 : 28672 字节 28.0 KB
MD5 : fd97f56384c094404fcad9f43eb676d2
SHA1: A62C0C34C5DA4D806F79B79F363DFCD8789097C4
CRC32: 8d6fb445
 
卡巴斯基报为：Trojan-Dropper.Win32.Agent.aejk，瑞星报为：Trojan.PSW.Win32.GameOL.ttq
 
 
文件说明符 : C:/WINDOWS/system32/anymie360.exe
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-14 20:0:0
大小 : 21636 字节 21.132 KB
MD5 : 1c0ca868affee745c637f204dc6abda8
SHA1: 92A8FB04202425FB1E23907BBECB5242040DFC80
CRC32: 999f216a
 
卡巴斯基报为：Trojan.Win32.Pakes.mqh--Rising_Trojan.PSW.Win32.LMir.cfs

 

文件说明符 : C:/WINDOWS/system32/b770ca2.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-2-2 17:55:2
修改时间 : 2009-2-2 17:55:2
大小 : 5504 字节 5.384 KB
MD5 : 500f2a3d1a7ba9e449c83d2e1e41037e
SHA1: C329329B552094112F49D8FD3E73ADFF83989149
CRC32: d40ca1aa
 
卡巴斯基报为：Trojan-GameThief.Win32.Magania.annh，瑞星报为：RootKit.Win32.Agent.ejb
 
文件说明符 : C:/WINDOWS/system32/drivers/Beep.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-14 20:0:0
大小 : 9728 字节 9.512 KB
MD5 : e81ad49aa1bcdb5b356c8186ea0084a2
SHA1: 6B634FD9DB9E4BA36DF27E8D32252810568D0551
CRC32: 0cdbcd9d
 
卡巴斯基报为：Rootkit.Win32.Small.cy，瑞星报为：RootKit.Win32.Undef.xh
 

文件说明符 : C:/WINDOWS/system32/a.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Userinit Logon Application
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5, 1, 2600, 2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : USERINIT.EXE
源文件名 : userinit.exe
创建时间 : 2009-2-2 17:50:39
修改时间 : 2009-2-2 17:50:39
大小 : 16588 字节 16.204 KB
MD5 : 95c25c1d364ce0a173916595d8025c05
SHA1: 0829224A265636CC921FDB2F91D5CE5EDF510AA3
CRC32: d0cd8809