endurer
2005.12.26 第2版 补充了瑞星的回复。
2005.12.21 第1版
以前在一些朋友发的HijackThis的LOG中发现过这个东东的启动项。
今天在一位网友的电脑上,抓到了这个东东的文件。
HijackThis扫描的LOG为:
Logfile of HijackThis v1.99.1
Scan saved at 17:27:26, on 2005-12-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:/WINDOWS/System32/smss.exe
C:/WINDOWS/system32/csrss.exe
C:/WINDOWS/system32/winlogon.exe
C:/WINDOWS/system32/services.exe
C:/WINDOWS/system32/lsass.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/system32/svchost.exe
C:/WINDOWS/Explorer.EXE
C:/KAV6/KWatch.EXE
C:/WINDOWS/system32/LEXBCES.EXE
C:/WINDOWS/system32/LEXPPS.EXE
C:/WINDOWS/system32/spoolsv.exe
C:/Program Files/Common Files/Real/Update_OB/realsched.exe
C:/WINDOWS/system32/ctfmon.exe
C:/KAV6/KPfwSvc.EXE
C:/Program Files/Common Files/Microsoft Shared/VS7Debug/mdm.exe
C:/WINDOWS/system32/rundll32.exe
C:/Program Files/Common Files/SAN/diskman.exe
C:/WINDOWS/System32/alg.exe
C:/WINDOWS/system32/rundll32.exe
C:/WINDOWS/System32/svchost.exe
C:/WINDOWS/system32/conime.exe
C:/Program Files/WinRAR/WinRAR.exe
C:/WINDOWS/system32/dllcache/msconfig.exe
C:/Program Files/WinRAR/WinRAR.exe
F:/TOOLS/HijackThis.exe
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:/WINDOWS/SYSTEM32/stdup.dll
O4 - HKLM/../Run: [Update] C:/WINDOWS/system32/Update.exe
O4 - HKLM/../Run: [TkBellExe] "C:/Program Files/Common Files/Real/Update_OB/realsched.exe" -osboot
O4 - HKCU/../Run: [ctfmon.exe] C:/WINDOWS/system32/ctfmon.exe
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:/WINDOWS/system32/shdocvw.dll
O9 - Extra 'Tools' menuitem: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:/WINDOWS/system32/shdocvw.dll
O17 - HKLM/System/CCS/Services/Tcpip/../{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68
O17 - HKLM/System/CS1/Services/Tcpip/../{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68
O17 - HKLM/System/CS2/Services/Tcpip/../{088BD62C-53AD-4F5F-A8D6-26C35D3CE233}: NameServer = 202.103.224.68,202.103.225.68
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:/KAV6/KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:/KAV6/KWatch.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:/WINDOWS/system32/LEXBCES.EXE
O23 - Service: Universal Disk Manager - Unknown owner - C:/Program Files/Common Files/SAN/diskman.exe
注意:LOG中的进程列表中没有C:/WINDOWS/system32/Update.exe,在Windows的任务管理器中也看不到名为Update.exe的进程。
不过在IceSword中可以看到C:/WINDOWS/system32/Update.exe。
《您可以到http://endurer.ys168.com 的 tools\在系统分析和修复 里下载到IceSword。》
把此电脑上的金山毒霸升级到最新版本,再扫描C:/WINDOWS/system32/Update.exe此文件,没有反应。
多引擎扫描上传文件1 http://virusscan.jotti.org/扫描的结果:
File: | update.exe |
Status: | INFECTED/MALWARE |
MD5 | 54f60d32855b1d26f57de353936fde62 |
Packers detected: | - |
Scanner results | |
AntiVir | Trojan/Dldr.QQHelpe.c.1 |
ArcaVir | Trojan.Downloader.Qqhelper.H |
Avast | Found nothing |
AVG Antivirus | Downloader.Generic.NDM |
BitDefender | Found nothing |
ClamAV | Trojan.Downloader.Agent-208 |
Dr.Web | Trojan.StartPage.1178 |
F-Prot Antivirus | Found nothing |
Fortinet | Dloader.AD!tr |
Kaspersky Anti-Virus | Trojan-Downloader.Win32.QQHelper.h |
NOD32 | Found nothing |
Norman Virus Control | Found nothing |
UNA | Found nothing |
VBA32 | Trojan-Downloader.Win32.QQHelper.h |
因为时间关系,此病毒的一些相关文件还没有挖完。
2005.12.26 第2版 补充了瑞星的回复:
主 题: | 瑞星客户服务中心__关于病毒问题咨询的回复C8=F0=D0=C7=BF=CD=BB=A7=B7=FE=CE=F1=D6=D0=D0=C4__=B9=D8=D3=DA=B2=A1=B6=BE=CE=CA=CC=E2=D7=C9=D1=AF=B5=C4=BB=D8=B8=B4?= | ||
发件人: | send@rising.net.cn | 发送时间:2005-12-25 18:29:48 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:update.dat
不是病毒
2.文件名:update.exe
不是病毒
提 醒:为保证收到您的来信,请勿直接回复本邮件!!!
-------------------------------------------------------------
服务单位:瑞星·客户服务中心
工 程 师:CSC025
-------------------------------------------------------------
