遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko
遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko
endurer 原创
2009-05-19 第1版
一位朋友的电脑最近出现了奇怪的毛病,请偶帮忙检修。
打开电脑进入Windows桌面后,感觉电脑很卡,除了超级巡警窗口,打开其它窗口都像是不停地自动在进行前台程序和后台程序的切换,一闪一闪的,很难操作。
打开任务管理器,检查进程的CPU占用率,发现CPU使用率100%,其中进程Windows Update.exe占用了70%左右。
重启电脑到“带命令行提示的安全模式”,运行pe_xscan扫描log并分析,发现如下可疑项:
pe_xscan 09-04-28 by Purple Endurer
2009-05-19 14:12:4
Windows XP Service Pack 3(5.1.2600)
MSIE:6.0.2900.5512
管理员用户组
带命令行提示的安全模式
F2 - REG: system.ini: UserInit = <C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/Windows Update.exe>
O30 - IeOpenHomePage = "C:/Program Files/Internet Explorer/iexplore.exe" hxxp://www.52**4*16.com
另外在c:/ 发现 情se发布器.exe,WMP的图标,可疑。
用FileInfo提取文件信息,用bat_do打包备份后删除。
用HijackThis修复F2项。
O30项说明注册表中的
[HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command,
的值被修改了,手工把后面的网址去掉就行了。
附:恶意程序文件信息
文件说明符 : C:/WINDOWS/system32/Windows Update.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.0
说明 : Windows Update
版权 : http://www.microsoft.com/
备注 : Windows Update
创建时间 : 2009-2-22 2:41:3
修改时间 : 2009-2-22 2:41:14
大小 : 325939 字节 318.307 KB
MD5 : 422221553bcd2e13612719068973b69a
SHA1: F56611D1BE5E7AB17B3F3A9D7997D153AABE34FC
CRC32: 457d6ebf
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果 |
| a-squared | 4.0.0.101 | 2009.05.19 | MalwareScope.Backdoor.Hupigon.3!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.05.19 | - |
| AntiVir | 7.9.0.168 | 2009.05.19 | TR/Crypt.CFI.Gen |
| Antiy-AVL | 2.0.3.1 | 2009.05.18 | Trojan/Win32.StartPage |
| Authentium | 5.1.2.4 | 2009.05.19 | - |
| Avast | 4.8.1335.0 | 2009.05.18 | - |
| AVG | 8.5.0.336 | 2009.05.18 | - |
| BitDefender | 7.2 | 2009.05.19 | - |
| CAT-QuickHeal | 10.00 | 2009.05.15 | Trojan.Agent.ATV |
| ClamAV | 0.94.1 | 2009.05.19 | - |
| Comodo | 1157 | 2009.05.08 | - |
| DrWeb | 5.0.0.12182 | 2009.05.19 | - |
| eSafe | 7.0.17.0 | 2009.05.18 | Suspicious File |
| eTrust-Vet | 31.6.6509 | 2009.05.18 | - |
| F-Prot | 4.4.4.56 | 2009.05.18 | - |
| F-Secure | 8.0.14470.0 | 2009.05.19 | - |
| Fortinet | 3.117.0.0 | 2009.05.18 | - |
| GData | 19 | 2009.05.19 | - |
| Ikarus | T3.1.1.49.0 | 2009.05.19 | MalwareScope.Backdoor.Hupigon.3 |
| K7AntiVirus | 7.10.737 | 2009.05.16 | - |
| Kaspersky | 7.0.0.125 | 2009.05.19 | - |
| McAfee | 5619 | 2009.05.18 | - |
| McAfee+Artemis | 5619 | 2009.05.18 | - |
| McAfee-GW-Edition | 6.7.6 | 2009.05.19 | Trojan.Crypt.CFI.Gen |
| Microsoft | 1.4602 | 2009.05.19 | - |
| NOD32 | 4085 | 2009.05.19 | - |
| Norman | 6.01.05 | 2009.05.18 | Smalltroj.LZEA |
| nProtect | 2009.1.8.0 | 2009.05.19 | - |
| Panda | 10.0.0.14 | 2009.05.18 | Bck/Agent.LQR |
| PCTools | 4.4.2.0 | 2009.05.18 | - |
| Prevx | 3.0 | 2009.05.19 | - |
| Rising | 21.30.10.00 | 2009.05.19 | Trojan.Win32.Autoit.fc |
| Sophos | 4.41.0 | 2009.05.19 | - |
| Sunbelt | 3.2.1858.2 | 2009.05.18 | - |
| Symantec | 1.4.4.12 | 2009.05.19 | - |
| TheHacker | 6.3.4.1.327 | 2009.05.19 | - |
| TrendMicro | 8.950.0.1092 | 2009.05.19 | - |
| ViRobot | 2009.5.19.1740 | 2009.05.19 | - |
| VirusBuster | 4.6.5.0 | 2009.05.18 | - |
| 附加信息 |
|---|
| File size: 325939 bytes |
| MD5...: 422221553bcd2e13612719068973b69a |
| SHA1..: f56611d1be5e7ab17b3f3a9d7997d153aabe34fc |
| SHA256: 1b44aa550df933bad777a956201d7d1d6a52b4d369fef4024fe2795ace8b8b93 |
|
SHA512: 7c50b7bf3b05055a414ea1a652f7fe583f434f66e053d6d87a6eec1e50e9a61b f1bb1f08951f38dd6dd922c78d3990f2196aa7e6a80b7cceb9ab26b41358e5d5 |
|
ssdeep: 6144:PlZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76wf6Lss34yRwV:PHLUMuiv9Rg fSjAzRt7fCpjU |
| PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser |
|
TrID..: File type identification UPX compressed Win32 Executable (43.8%) Win32 EXE Yoda's Crypter (38.1%) Win32 Executable Generic (12.2%) Generic Win/DOS Executable (2.8%) DOS Executable Generic (2.8%) |
|
PEInfo: PE Structure information
( base data ) ( 3 sections ) ( 16 imports ) ( 0 exports ) |
| PDFiD.: - |
|
RDS...: NSRL Reference Data Set - |
| packers (Kaspersky): PE_Patch.UPX, UPX |
|
packers (F-Prot): UPX 主 题: RE: 422221553bcd2e13612719068973b69a---Windows Update.exe [KLAN-30650641] WindowsUpdate.exe_.unp - Trojan-Downloader.Win32.Agent.bydr New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. Please quote all when answering. -- http://www.kaspersky.com/virusscanner - free online virus scanner. |
文件说明符 : C:/情se发布器.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 : 电影播放器
版权 : 电影播放器
备注 : 电影播放器
创建时间 : 2009-2-16 19:56:51
修改时间 : 2009-2-22 3:5:32
大小 : 327051 字节 319.395 KB
MD5 : 110230c200611c32ed487b9fec1e6076
SHA1: 5481AFA2BEDD051D70F39DE1FA0060F507A0345F
CRC32: 7ac87b88
| 反病毒引擎 | 版本 | 最后更新 | 扫描结果 |
| a-squared | 4.0.0.101 | 2009.05.19 | Trojan.AgentMB!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.05.19 | - |
| AntiVir | 7.9.0.168 | 2009.05.19 | TR/Crypt.CFI.Gen |
| Antiy-AVL | 2.0.3.1 | 2009.05.18 | - |
| Authentium | 5.1.2.4 | 2009.05.19 | - |
| Avast | 4.8.1335.0 | 2009.05.18 | Win32:Crypt-DOC |
| AVG | 8.5.0.336 | 2009.05.18 | - |
| BitDefender | 7.2 | 2009.05.19 | Gen:Trojan.Heur.3106677233 |
| CAT-QuickHeal | 10.00 | 2009.05.15 | Trojan.Agent.ATV |
| ClamAV | 0.94.1 | 2009.05.19 | - |
| Comodo | 1157 | 2009.05.08 | - |
| DrWeb | 5.0.0.12182 | 2009.05.19 | - |
| eSafe | 7.0.17.0 | 2009.05.18 | Suspicious File |
| eTrust-Vet | 31.6.6509 | 2009.05.18 | - |
| F-Prot | 4.4.4.56 | 2009.05.18 | - |
| F-Secure | 8.0.14470.0 | 2009.05.19 | - |
| Fortinet | 3.117.0.0 | 2009.05.18 | - |
| GData | 19 | 2009.05.19 | Gen:Trojan.Heur.3106677233 |
| Ikarus | T3.1.1.49.0 | 2009.05.19 | Trojan.AgentMB |
| K7AntiVirus | 7.10.737 | 2009.05.16 | - |
| Kaspersky | 7.0.0.125 | 2009.05.19 | - |
| McAfee | 5619 | 2009.05.18 | - |
| McAfee+Artemis | 5619 | 2009.05.18 | - |
| McAfee-GW-Edition | 6.7.6 | 2009.05.19 | Trojan.Crypt.CFI.Gen |
| Microsoft | 1.4602 | 2009.05.19 | - |
| NOD32 | 4085 | 2009.05.19 | - |
| Norman | 6.01.05 | 2009.05.18 | Smalltroj.LQVY |
| nProtect | 2009.1.8.0 | 2009.05.19 | - |
| Panda | 10.0.0.14 | 2009.05.18 | - |
| PCTools | 4.4.2.0 | 2009.05.18 | - |
| Prevx | 3.0 | 2009.05.19 | Medium Risk Malware |
| Rising | 21.30.10.00 | 2009.05.19 | AdWare.Win32.Undef.eko |
| Sophos | 4.41.0 | 2009.05.19 | - |
| Sunbelt | 3.2.1858.2 | 2009.05.18 | - |
| Symantec | 1.4.4.12 | 2009.05.19 | Downloader |
| TheHacker | 6.3.4.1.327 | 2009.05.19 | - |
| TrendMicro | 8.950.0.1092 | 2009.05.19 | - |
| VBA32 | 3.12.10.5 | 2009.05.19 | - |
| ViRobot | 2009.5.19.1740 | 2009.05.19 | - |
| VirusBuster | 4.6.5.0 | 2009.05.18 | - |
| 附加信息 |
|---|
| File size: 327051 bytes |
| MD5...: 110230c200611c32ed487b9fec1e6076 |
| SHA1..: 5481afa2bedd051d70f39de1fa0060f507a0345f |
| SHA256: f6bfe2e9e5c2a3dd29c9aa622b0c8723922a0df012b4772b7aab8721ab76a370 |
|
SHA512: 2e10bfcd2e10bf7b9e108f19205ee32b382babafcfc62c881c63e1b5b7eac0bb 7fa584f7228677d2c6029d7abd3161743a1cef31556b697d857a73c63420a269 |
|
ssdeep: 6144:plZ/zUMu4pDSxsCMRzf7x3SfS1JAzXBtL76wQ0qapLibDi:pHLUMuiv9Rgf SjAzRt74bW |
| PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser |
|
TrID..: File type identification UPX compressed Win32 Executable (43.8%) Win32 EXE Yoda's Crypter (38.1%) Win32 Executable Generic (12.2%) Generic Win/DOS Executable (2.8%) DOS Executable Generic (2.8%) |
|
PEInfo: PE Structure information
( base data ) ( 3 sections ) ( 16 imports ) ( 0 exports ) |
| PDFiD.: - |
|
RDS...: NSRL Reference Data Set - |
| packers (Kaspersky): PE_Patch.UPX, UPX |
| <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=BD2396B38BD33D88FDA604CBF58D55006644A0D9' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=BD2396B38BD33D88FDA604CBF58D55006644A0D9</a> |
| packers (F-Prot): UPX |
遭遇Windows Update.exe/Trojan.Win32.Autoit.fc,情se发布器.exe/AdWare.Win32.Undef.eko相关推荐
- 修复win10的更新服务器,Win10系统无法更新如何修复Windows Update组件
我们在使用win10系统的时候,经常需要进行一些更新,可以给用户们带来更多的安全和更好的操作体验,但是有时候可能会遇到无法更新的情况,那么可能是Windows Update组件受损,要如何进行修复呢? ...
- win10系统打开更新服务器失败怎么回事,如何修复Windows Update组件以解决Win10无法自动更新的问题?...
如何修复Windows Update组件以解决Win10无法自动更新的问题?老司机都知道Win10的自动更新机制是通过Windows Update相关组件的正常运作来实现的,如果Windows Upd ...
- 解决所有人的痛点,禁止Win10强制更新,一键彻底关闭更新,Windows Update Blocker
与以前版本的Windows相比,Windows 10对操作系统的更新行为的UI控制更少,没有选项可以使用"控制面板"或"设置"应用程序中的Windows Upd ...
- Windows Update Blocker一键启用或禁用Windows10更新(下载安装使用教程)
与以前版本的 Windows 相比,Windows 10 对操作系统更新行为的 UI 控制较少,没有使用控制面板或设置应用程序关闭 Windows 更新的选项Windows 10,它会自动检查更新并安 ...
- Windows Update是什么意思
可能还有不少用户不清楚Windows Update是什么意思?Windows Update就是微软提供的自动更新工具,用户可以开启自动更新来升级系统的组件.但是有用户发现开启更新之后经常遇到系统更新的 ...
- 关闭彻底Windows10自动更新工具-Windows Update Blocker
关闭彻底Windows10自动更新工具-Windows Update Blocker 一段关于windows10 自动更新的自述:(讲述了自动更新关闭的演变历史和本工具原理) 与以前版本的Window ...
- Windows Update无法启动
Windows Update是Windows操作系统中的一个非常重要的组件,它可以帮助用户自动更新系统.应用程序和驱动程序,以保持系统的稳定性和安全性.但有时候,当我们尝试启动Windows Upda ...
- windows update更新返回错误码统计(WUSA.exe)
windows update更新返回错误码统计 (WUSA.exe) This Exit Codes or Return Values can be retrieved from an Windows ...
- 登录Windows后自动注销,原来中了pcidump.sys,scvhost.exe,SoundxVolumns.dll,kav32.exe等
今天上午,一位同事的电脑出现登录Windows后自动注销的故障,用 WinPE 检查发现c:/windows/system32/userinit.exe丢失,从其它电脑中复制了一个userinit.e ...
最新文章
- 3proxy 使用指北
- ECSHOP在打印订单时打印出商品序号
- 动态规划初步--数字三角形
- linux gpio设备驱动程序,嵌入式Linux设备驱动开发之:GPIO驱动程序实例-嵌入式系统-与非网...
- 计算机毕设分词,毕业设计(论文)+计算机科学与技术+中文分词方法研究与实现论文全文.doc...
- final/finalize/finally的区别
- gem install 和 bundle 区别
- 中国移动虚拟服务器设置,在中国移动公众服务云平台上服务器虚拟化的设计与实现...
- mac注销快捷键_Mac快捷键大全
- 信息隐藏基础算法——LSB算法(python实现)
- NX二次开发(C#)-UIStyler-ListBox(列表框)的应用
- PUM-main makefile报错 #2
- 网线制作:网线和水晶头的接法
- 一个用JAVA写的画图程序
- MD5 标准算法详解
- JS笔记:实现网页税收表
- 洛谷 P1008 三连击
- [c++]实现分数计算器设计
- 2023编程语言趋势
- 【ADNI】对 nii 3D 数据进行裁剪(Matlab)待完善...