昨天一位网友的电脑在接入U盘后,瑞星注册表监控提示有程序试图修改注册表……现在使用QQ,QQ都提示有错误,要重装一次才能用……让偶帮助检查。
到 http://endurer.ys168.com下载 IceSword,发现可疑进程:c:/windows/system32/ime/svchost.exe,终止了。
下载 pe_xscan 扫描 log,经过在线网页分析,发现如下可疑项:
/=== pe_xscan 07-03-17 by Purple Endurer 2007-4-2 20:21:16 Windows XP Service Pack 2(5.1.2600) 管理员用户组 C:/autorun.inf /----- [AutoRun] open=setup.exe shellexecute=setup.exe shell/Auto/command=setup.exe -----/ D:/autorun.inf /----- [AutoRun] open=setup.exe shellexecute=setup.exe shell/Auto/command=setup.exe -----/ E:/autorun.inf /----- [AutoRun] open=setup.exe shellexecute=setup.exe shell/Auto/command=setup.exe -----/ F:/autorun.inf /----- [AutoRun] open=setup.exe shellexecute=setup.exe shell/Auto/command=setup.exe -----/ O23 - 服务: 00 () - C:/WINDOWS/System32/drivers/213617.sys(引导) O23 - 服务: ADProt (ADProt) - system32/drivers/ADProt.sys(引导) O23 - 服务: TDDI (TDDI) - C:/WINDOWS/system32/drivers/tddi.sys | 2007-1-16 15:57:22 | SoftDog | 3, 1, 7, 0 | SoftDog driver | Copyright (C) 2004 SafeNet China Ltd. | 3, 1, 7, 0 | SafeNet China Ltd. | | tddi | tddi.sys(自动) SHOWALL Value isn't 1 ===/ 由于病毒写注册表的操作被瑞星拦截了,所有没有在注册表中发现可疑启动项。 /---
Kaspersky 报为 Worm.Win32.Agent.aj。
用WinRAR删除各盘上的autorun.inf
在 C:/windows/system32 下发现:internt.exe.rar、progmon.exe,及c:/windows/system32/ime/svchost.exe,文件大小均与setup.exe相同,Kaspersky 报的病毒名也相同,都删除了。
参照: 【系统修复系列之】如何 显示所有的文件和文件夹
修复:SHOWALL Value isn't 1
卸载QQ,重启电脑后,到腾讯网站下载QQ安装程序重装QQ……
检查网友电脑中的瑞星,病毒库是2007-03-29的,晕!升级……
发现一些EXE文件的最后修改时间也变为2007-4-2,将其中一个文件 SurfingPlus.exe 上传在线扫描,结果为:
STATUS: SCANNING
