遭遇www.6781.com劫持浏览器和Worm.Snake.a等
来源:互联网 发布:淘宝c店运营计划 编辑:程序博客网 时间:2024/05/06 19:21
endurer 原创
2006-11-30 第1版
一位网友的电脑,IE浏览器首页被强制设置为www.6781.com,让偶帮忙检修。
到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。
在用 HijackThis 扫描 log,生成启动项列表,用 ProcView 导出的系统进程列表,传回来。
在 HijackThis 扫描的 log发现如下可疑项:
/-------
Logfile of HijackThis v1.99.1
Scan saved at 17:58:56, on 2006-11-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/Program Files/Common Files/System/Update.exe
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: NewWeb Controller - {9ACEEE31-1440-471B-AA46-72B061FE7D61} - G:/WINDOWS/system32/SCIntruder.dll
O4 - HKLM/../Run: [System] G:/Program Files/Common Files/System/Update.exe
O4 - HKLM/../Run: [RavAV] G:/WINDOWS/RavMonE.exe
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
-------/
在 ProcView 导出的系统进程列表中发现下列可疑项目:
/-------
Windows XP (5.1.2600 Service Pack 2)
2006-11-30 18:32:15进程列表
G:/WINDOWS/System32/svchost.exe
g:/windows/system32/vpgqhi34.dll
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL
G:/WINDOWS/RavMonE.exe
G:/WINDOWS/RavMonE.exe
-------/
在 HijackThis 生成的启动项列表中发现如下可疑服务:
/-------
StartupList report, 2006-11-30, 18:39:57
StartupList version: 1.52.2
Started from : G:/tools/HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
* Including empty and uninteresting sections
* Showing rarely important sections
==================================================
Enumerating Windows NT/2000/XP services
00: /SystemRoot/System32/drivers/8590312.sys (system)
108375: System32/drivers/108375.sys (system)
63090: System32/drivers/63090.sys (system)
a0: /SystemRoot/System32/drivers/108375.sys (system)
paraudio: /??/G:/WINDOWS/system32/drivers/paraudio.sys (autostart)
Network IPSEC Connections: G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL,Export 1087 (autostart)
<endurer注:Windows系统有个内置服务:IPSEC Services: %SystemRoot%/system32/lsass.exe (autostart),不要弄混了>
-------/
用 ProcView 把
/-------
G:/WINDOWS/SYSTEM32/RUNDLLFROMWIN2000.EXE
G:/WINDOWS/RavMonE.exe
-------/
把包传回来后终止它们。忘记把
/-------
g:/windows/system32/vpgqhi34.dll
G:/WINDOWS/SYSTEM32/WBEM/IBHQTW19.DLL
-------/
打包了,汗!
刚用WinRAR找到
/-------
G:/Documents and Settings/user/Local Settings/Temp/jh.exe
G:/Program Files/Common Files/System/Update.exe
G:/WINDOWS/RavMonE.exe
-------/
打包传回来,网友就下班了。
RavMonE.exe 采用Microsoft Visual C++ 7.0 Method2开发。
/----------
修改时间 : 2001-8-4 1:1:48
大小 : 3515723 字节 3.361 MB
MD5 : 3efdfddfffe5cf4ad40c5368c336a702
----------/
Kaspersky 报为 Worm.Win32.RJump.a,瑞星报为 Worm.Snake.a。
SCIntruder.dll 采用nSPack 1.3 -> North Star/Liu Xing Ping加壳。
/----------
修改时间 : 2006-11-17 17:30:34
大小 : 104960 字节 102.512 KB
MD5 : d3c0bbe879ed2acf5a4d519e7121da91
----------/
Kaspersky 报为 not-a-virus:AdWare.Win32.NewWeb.e,瑞星报为 Trojan.Spy.Neweb.b。
Update.exe
/----------
修改时间 : 2004-8-4 0:52:20
大小 : 143360 字节 140.0 KB
MD5 : 136e4dceb6d327b337fa44affb376953
----------/
Kaspersky 报为 Trojan-Downloader.Win32.QQHelper.od,瑞星报为 Trojan.DL.QQHelper.eoq。
rundllfromwin2000.exe 采用Microsoft CAB SFX module加壳。
/----------
语言 : 中文(中国)
文件版本 : 5.00.2134.1
说明 : Run a DLL as an App
版权 : Copyright (C) Microsoft Corp. 1981-1999
备注 :
产品版本 : 5.00.2134.1
产品名称 : Microsoft(R) Windows (R) 2000 Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : rundll
源文件名 : RUNDLL.EXE
修改时间 : 2004-8-4 0:52:20
大小 : 10240 字节 10.0 KB
MD5 : 4936a6954ed59700a3c706f9094685ee
----------/
jh.exe 采用Microsoft Visual Basic 5.0 / 6.0开发
/----------
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : JH
公司名称 :
合法商标 :
内部名称 : jh
源文件名 : jh.exe
创建时间 : 2006-11-30 22:25:28
修改时间 : 2006-8-16 11:16:2
访问时间 : 2006-11-30 22:26:51
大小 : 49152 字节 48.0 KB
MD5 : b3975e60b7db0df8f334f29d62d01605
----------/
- 遭遇www.6781.com劫持浏览器和Worm.Snake.a等
- 续:遭遇www.6781.com劫持浏览器和Worm.Snake.a等
- 遭遇my123.com劫持浏览器和yok
- hxxp://www.hao923.com.cn/劫持浏览器
- 遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等1
- 遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2
- 解决www.54kk.com/baidu劫持浏览器的问题
- 再谈www.71791.com劫持浏览器问题(第3版)
- [09-05] 解决www.71791.com 浏览器劫持问题
- 关于www.ting789.com劫持浏览器的问题
- 关于浏览器被http://www.51jetso.com/劫持
- 遭遇Worm.UsbSpy.a/Worm.Win32.Delf.aj
- 360浏览器被7322.com劫持,IE浏览器被6781.com劫持
- 遭遇浏览器劫持——“天下搜索”
- 解决浏览器被 http://www.haohao1.com 劫持问题(第2版)
- IE以及其他浏览器主页被劫持到www.2345.com/?kunown的解决办法
- soso313.cn、dao234.com等劫持浏览器,tlntsvi_1547.exe、ydzyh.exe、scvhost.exe等做怪
- 遭遇Worm.Win32.Agent.o、Backdoor.Win32.SnooperYb.b等
- Converting between XML and JSON
- .Net中SetWindowText函数的问题
- 程序员的十种级别,看看你属于哪一种?
- C++中的指针 智能指针
- 又开掉一个人,这个世道
- 遭遇www.6781.com劫持浏览器和Worm.Snake.a等
- 详述MySQL中select的使用
- 80后少年气盛不惧失败
- discusses the subtle differences between terms like “orientation,”and"direction"
- 由:便后不冲厕所想到 ....
- 算术表达式的计算
- 找个学计算机的当老公的20大缺点
- 备份服务器实例下的所有数据库.(完全备份)
- 比较不爽,新买的诺基亚6111经常出现黑屏现象。。。