endurer 原创
2007-05-07 第1版
昨天一位朋友说他的电脑查杀出了病毒,让偶帮助看看。
下载了 pe_xscan 扫描 log 并分析,发现如下可疑项:
pe_xscan 07-03-17 by Purple Endurer
2007-5-6 10:35:46
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O2 - BHO IEObject Class - {5F5422F7-7159-4CB6-BE7D-2C7EED492762} - C:/PROGRA~1/COMMON~1/yehoo/yehoo.dll
O4 - Global Startup: -20676.lnk -> C:/WINDOWS/system32/-20676.exe
O4 - Global Startup: -20844.lnk -> C:/WINDOWS/system32/-20844.exe
O4 - Global Startup: rdgjhd.lnk -> C:/WINDOWS/system32/rdgjhdi.exe
O23 - 服务: nwlnksipx (nwlnksipx) - C:/WINDOWS/system32/drivers/nwlnksipx.sys(自动)
用 HijackThis 和 瑞星卡卡安全助手修复,再用auto_del 在下次启动时删除 nwlnksipx.sys。
这个东东曾在 遭遇万能搜索(WANSO,Trojan.AdPlayer.a)等 中遇到过。
文件说明符 : c:/windows/system32/drivers/nwlnksipx.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 5.1.2600.80
说明 : NWLINK2 SIPX Protocol Driver
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.80
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : nwlnksipx.sys
源文件名 : nwlnksipx.sys
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2007-5-6 10:32:30
大小 : 6144 字节 6.0 KB
MD5 : cbb860ee6715a2a968d19d0cd5eaaa7e
Kaspersky 报为 Trojan.Win32.StartPage.amo,瑞星 报为 Trojan.StartPage.tns。
Scanned file: nwlnksipx.sys - Infected |
nwlnksipx.sys - infected by Trojan.Win32.StartPage.amo Statistics: |
Known viruses: | 315008 | Updated: | 07-05-2007 |
File size (Kb): | 6 | Virus bodies: | 1 |
Files: | 1 | Warnings: | 0 |
Archives: | 0 | Suspicious: | 0 |
