节后 威金/Viking 来拜年
endurer 原创
2007-02-26 第1版
一位同事说他的电脑工作异常,让偶帮忙检查看看。
到 http://endurer.ys168.com 下载了 HijackThis 扫描log,发现可疑项:
/-----
Logfile of HijackThis v1.99.1
Scan saved at 9:04:52, on 2007-2-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/Logo1_.exe
E:/QQGAME/POCKET~1/PocketRPG.exe
F3 - REG:win.ini: load=C:/WINDOWS/rundl132.exe
-----/
看到 Logo1_.exe 和 rundl132.exe,很容易联想到威金/Viking。
PocketRPG.exe 这个东东用 Google搜索 没有找到相关信息,用搜狗/sogou找到2条,用baidu 也没找到。
到 http://endurer.ys168.com 下载了 瑞星杀毒助手,使用瑞星在线免费查毒扫描C盘,结果如下:
/-----
2007-2-26 9:41:18 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/WINDOWS/system32/drivers/339267.sys RootKit.CnsProt.a
C:/WINDOWS/system32/drivers/119822.sys RootKit.CnsProt.a
C:/WINDOWS/system32/drivers/199617.sys RootKit.CnsProt.a
C:/WINDOWS/system32/dhgart37.dll Trojan.DL.QQHelper.emi
C:/WINDOWS/system32/ntabhor.exe Trojan.PSW.Agent.ihd
C:/WINDOWS/Dll.dll Worm.Viking.dv
-----/
瑞星在线免费查毒虽然没有报 Logo1_.exe 和 rundl132.exe,但 pe_xscan 和 HijackThis 的 log 都没有发现进程 C:/WINDOWS/Logo1_.exe。
回来后用瑞星杀毒软件扫描,两个都报了。看来瑞星在线免费查毒,与瑞星杀毒软件相比,留了一手。
到 http://purpleendurer.ys168.com 下载了 FileInfo 提取文件信息,并用 瑞星杀毒助手 打包备份了。
文件说明符 : c:/windows/Logo1_.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-2-17 20:8:53
修改时间 : 2007-2-26 9:0:12
访问时间 : 2007-2-26 0:0:0
大小 : 34212 字节 33.420 KB
MD5 : 97555480d38b2296f2c5aa601401b34c
瑞星报为:Worm.Viking.dv
|
Scanned file: Logo1_.exe - Infected |
Logo1_.exe - infected by Worm.Win32.Viking.bb Statistics:
|
文件说明符 : c:/windows/rundl132.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-2-17 20:8:55
修改时间 : 2007-2-26 9:0:14
访问时间 : 2007-2-26 0:0:0
大小 : 34212 字节 33.420 KB
MD5 : 97555480d38b2296f2c5aa601401b34c
瑞星报为:Worm.Viking.dv
|
Scanned file: rundl132.exe - Infected |
rundl132.exe - infected by Worm.Win32.Viking.bb Statistics:
|
文件说明符 : c:/windows/Dll.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-2-17 20:9:0
修改时间 : 2007-2-26 9:0:16
访问时间 : 2007-2-26 0:0:0
大小 : 27648 字节 27.0 KB
MD5 : 2064728420cdde016ee6b85457be28f9
瑞星报为:Worm.Viking.dv
|
Scanned file: Dll.dll - Infected |
Dll.dll - infected by Worm.Win32.Viking.bb Statistics:
|
文件说明符 : C:/WINDOWS/system32/ntabhor.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-1-3 21:7:57
修改时间 : 2003-6-10 12:12:48
访问时间 : 2007-2-26 0:0:0
大小 : 53248 字节 52.0 KB
MD5 : 2fc49f9b2d586521af20746a33ee74a5
|
Scanned file: ntabhor.exe - Infected |
ntabhor.exe - infected by Trojan-Spy.Win32.Agent.iw Statistics:
|
文件说明符 : C:/WINDOWS/system32/dhgart37.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 5, 1, 2600, 2180
说明 : Battery Meter Helper DLL
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5, 1, 2600, 2180
产品名称 :
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2004-8-12 0:0:0
修改时间 : 2004-8-12 0:0:0
访问时间 : 2007-2-26 0:0:0
大小 : 49152 字节 48.0 KB
MD5 : 8306c2271f54cf73b61a5762b5a28ab0
|
Scanned file: dhgart37.dll - Infected |
dhgart37.dll - infected by Trojan-Downloader.Win32.QQHelper.mo Statistics:
|
Kaspersky报的病毒名与 节前来烧香的熊猫 相同。看来Kaspersky的病毒特征码提取得不错。
下载江民的威金专杀工具查杀,发现一大堆程序文件被感染:
在此前的测试中曾发现江民的威金专杀工具有漏杀的现象,因为时间的关系,这里不再用其它杀软扫描了。
其它的用瑞星杀毒助手删除了。
用 HijackThis 修复上列可疑项。
关闭所有程序,运行Windows附件中的磁盘清理程序做个扫除。
顺便测试了一下年前写的分析 pe_xscan 的 log 的网页,发现效果还不错。