硬盘双击打不开?原来是SysInfo.dll,SysInfo2.dll,5bmjn.sys,j9gqht.sys作梗

硬盘双击打不开?原来是SysInfo.dll,SysInfo2.dll,5bmjn.sys,j9gqht.sys作梗

 

endurer 原创
2008-08-06 第1版

 

中招的电脑在开机时超级巡警有时会提示出错，未能运行，双击硬盘时经常打不开，并提示加载 ./SysInfo2.Dll时出错。找不到指定的模块。有时是找不到SysInfo2.DLL。

 

 

用 pe_xscan 扫描log并分析，发现如下可疑项：

pe_xscan 08-08-01 by Purple Endurer
2008-8-5 16:34:47
Windows XP Service Pack 2(5.1.2600)
MSIE:6.0.2900.2180
管理员用户组
正常模式
C:/WINDOWS/System32/winlogon.exe * 928  |  2004-8-17 4:0:0  |  Microsoft(R) Windows(R) Operating System  |  5.1.2600.2180  |  Windows NT Logon Application  |  (C) Microsoft Corporation. All rights reserved.  |  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  |  Microsoft Corporation |  ?  |  winlogon  |  WINLOGON.EXE
    C:/WINDOWS/system32/SysInfo.dll  |  2008-8-5 1:34:31  |    |  1.0.0.0  |  Microsoft Office Tools  |    |  1.0.0.0  |  Microsoft Corporation  |    |  SYSINFO.DLL  |  
O2 - BHO  - {989D2FEB-5411-4565-8988-1DD2C5263377} = C:/WINDOWS/system32/SysInfo.dll  |  2008-8-5 1:34:31

C:/autorun.inf
/-----
[autorun]
open=RunDll32.exe ./SysInfo2.Dll,MyFun
shell/1=打开(&O)
shell/1/Command=RunDll32.exe ./SysInfo2.Dll,MyFun
shellexecute=RunDll32.exe ./SysInfo2.Dll,MyFun
-----/
D:/autorun.inf
/-----
[autorun]
open=RunDll32.exe ./SysInfo2.Dll,MyFun
shell/1=打开(&O)
shell/1/Command=RunDll32.exe ./SysInfo2.Dll,MyFun
shellexecute=RunDll32.exe ./SysInfo2.Dll,MyFun
-----/
O23 - 服务: 5bmjn (5bmjn) - system32/drivers/5bmjn.sys  |  2004-8-17 4:0:0(引导)
O23 - 服务: j9gqht (j9gqht) - System32/DRIVERS/j9gqht.sys(引导)

到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。

 

用FileInfo提取红色标记的可疑文件信息，连同c:/autorun.inf和d:/autorun.inf用bat_do打包备份并延时删除，改文件名，再延时删除。

 

由于未能提取到j9gqht.sys的信息，同时发现autoun.inf和SysInfo2.Dll又出来了。于是到 http://endurer.ys168.com下载 IceSword，先复制 j9gqht.sys打包备份， 然后强制删除。

 

用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

 

重启电脑后，再下载 并 安装 瑞星卡卡安全助手，切换到[高级功能]选择[插件管理及卸载]，把 O2项 卸载掉。

切换到[系统启动项管理]，在左边分别点击[服务项]和[驱动]，找到 O23组的对应项，右击，从弹出的菜单中选择删除。

 

这时如果双击打开硬盘时仍然有出错提示，可以用WinRAR来删除各盘下残留的autorun.inf，然后打开任务管理器，终止explorer.exe，再新建任务explorer.exe，就可以解决了。

 

附1、如何安全使用U盘等移动存储设备
http://endurer.bokee.com/6355266.html
http://blog.csdn.net/Purpleendurer/archive/2007/07/03/1677755.aspx

 

附2、病毒文件信息：

 

文件说明符 : C:/WINDOWS/system32/drivers/5bmjn.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
大小 : 48960 字节 47.832 KB
MD5 : 9cd89e20c1bab388af0f176d235c3fd2
SHA1: 446A38E519E245009CF450B9556C455DBDEF84DD
CRC32: bf6078a8

文件说明符 : D:/test/j9gqht.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 22:32:5
修改时间 : 2008-8-5 16:32:2
大小 : 46048 字节 44.992 KB
MD5 : 8f7d2f558a099fcc0f61e7c683be71fa
SHA1: C0CD6D77FD11D30FB13A48FC7F039D269D44A308
CRC32: 386f20a3

 

文件说明符 : C:/SysInfo2.Dll
属性 : -SHR
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 : Microsoft Office Tools
产品版本 : 1.0.0.0
公司名称 : Microsoft Corporation
内部名称 : SYSINFO.DLL
创建时间 : 2008-8-4 13:43:41
修改时间 : 2007-4-1 12:27:34
大小 : 197632 字节 193.0 KB
MD5 : 074926bb5145549a9a34ba04c172c735
SHA1: 71969E2A3922DB93FA859EA3DE2B77C89763D75D
CRC32: 95cfe2d2

 

卡巴斯基报为：Trojan-Spy.Win32.Delf.uy

 

文件说明符 : C:/WINDOWS/system32/SysInfo.dll
属性 : -SHR
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 : Microsoft Office Tools
产品版本 : 1.0.0.0
公司名称 : Microsoft Corporation
内部名称 : SYSINFO.DLL
创建时间 : 2008-8-5 9:34:31
修改时间 : 2007-4-1 12:27:34
大小 : 197632 字节 193.0 KB
MD5 : 074926bb5145549a9a34ba04c172c735
SHA1: 71969E2A3922DB93FA859EA3DE2B77C89763D75D
CRC32: 95cfe2d2

 

与 C:/SysInfo2.Dll 相同。