遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等

遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等

endurer 原创
2007-09-17 第1版

昨晚一位网友说近段时间他电脑中的 NOD32总报告：

/---
时间 模块 对象 名称 病毒 操作 用户名称 信息
2007-9-16 21:30:22 AMON 文件 C:/WINDOWS/system32/drivers/qfgsw.sys Win32/TrojanDownloader.Agent.BBB trojan 已删除 (在下一次重新开启后) NT AUTHORITY/SYSTEM 尝试访问文件时发生事件： C:/WINDOWS/System32/svchost.exe.
---/

重启也不行，让偶通过QQ远程协助。

下载 pe_xscan 扫描 log 并分析，发现如下可疑项：

/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-16 21:31:36
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO ff Class - {FAAAC0F6-94BE-4466-934B-7C53666A2F41} - C:/WINDOWS/system32/ba71.dll

O23 - 服务: 3A452D83 (3A452D83) - C:/WINDOWS/system32/24E9F3BC.EXE -k(禁用)

O23 - 服务: AEA6EAEC (AEA6EAEC) - C:/WINDOWS/system32/2DD519ED.EXE -p(禁用)

O23 - 服务: B302EC43 (B302EC43) - C:/WINDOWS/system32/75D23BE4.EXE -d(禁用)

O23 - 服务: FB000E3A (FB000E3A) - C:/WINDOWS/system32/F77B20D5.EXE -k(禁用)

O23 - 服务: Investor (Event Service) - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/WINDOWS/system32/eatxt.dll(自动)

O23 - 服务: kusn33sd (kusn33sd) - C:/WINDOWS/system32/kusn33sd.exe -j(禁用)

O23 - 服务: Messager (Messager) - c:/temp/svchost.exe(禁用)

O23 - 服务: qfgsw (qfgsw) - System32/DRIVERS/qfgsw.sys(引导)

O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:/WINDOWS/System32/drivers/ws2ifsl.sys | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(系统)
===/

到 ​​http://purpleendurer.ys168.com​​ 下载 FileInfo 和 bat_do。用 FileInfo 提取文件信息，用 bat_do 打包备份。

文件说明符 : C:/WINDOWS/system32/ba71.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1.0.0.1
说明 : TODO: <文件说明>
版权 : TODO: (C) <公司名>。保留所有权利。
备注 :
产品版本 : 1.0.0.1
产品名称 : TODO: <产品名>
公司名称 : TODO: <公司名>
合法商标 :
内部名称 : dbho.dll
源文件名 : dbho.dll
创建时间 : 2007-9-14 13:46:11
修改时间 : 2007-9-14 22:35:17
访问时间 : 2007-9-16 23:26:34
大小 : 126976 字节 124.0 KB
MD5 : aca6a3c9d5a4245d2717682fa63d203f
HSA1: DCD87E2F87372D224F45669B03A06B1A6A25C7C9

Kapsersky 报为 not-a-virus：AdWare.Win32.Dm.y，瑞星报为 Adware.Win32.Dm.y

qfgsw.sys 这个文件提示文件无法打开。

到 ​​http://endurer.ys168.com​​ 下载 IceSword，复制一个到 d:/ 下，还是不能提取，也不能打包备份 或 通过QQ传送。处理完成后，即使关闭了 Nod32 的实时监控，还是不能传送，最后是让网友以带网络连接的安全模式下启动，才传回来。

文件说明符 : C:/WINDOWS/system32/DRIVERS/qfgsw.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-16 23:31:9
修改时间 : 2007-9-16 23:31:12
访问时间 : 2007-9-16 23:35:30
大小 : 10240 字节 10.0 KB
MD5 : c3138e0cd862f4a2e82b8b24db346094
HSA1: 47B567B995B217E14C1082CAE7DB84024162AAD6
Kapsersky 报为 Trojan-Downloader.Win32.Agent.bbb，瑞星报为 Trojan.Win32.Agent.bvl

Scanned file:   qfgsw.sys - Infected

qfgsw.sys - infected by ​​Trojan-Downloader.Win32.Agent.bbb​​

其它文件均不存在。

用 IceSword 找到 这两个文件右击，从弹出的菜单中选择强制删除。

下载安装瑞星卡卡安全助手，删除这两个东东的启动项。

用WinRAR 删除Windows临时文件夹，IE临时文件夹，d:/windows/prefetch 中可以删除的文件和文件夹。