遭遇HBInject.exe,HBmhly.dll,sys07003.dll,zsqf.dll,ytfa.dll,ytfb.dll,ytfc.dll等
endurer原创
2008-08-08 第1版
昨天一位朋友说他打开了网上的一个flash文件,flash播放器出错,电脑失去响应,强制重启电脑后,瑞星监控小伞没显示,电脑反应很慢。请偶帮忙检修。
用 pe_xscan 扫描 log,在扫描进程、模块时速度太慢,只扫描了前几个进程就强制转入后续扫描,分析发现如下可疑项:
pe_xscan 08-08-01 by Purple Endurer
2008-8-7 18:26:2
Windows XP Service Pack 2(5.1.2600)
MSIE:6.0.2900.2180
管理员用户组
正常模式
[System Process] * 0
C:/WINDOWS/system32/zsqf.dll | 2008-8-6 1:9:3
C:/WINDOWS/system32/loanoltrd.dll | 1601-1-1 23:8:48
C:/WINDOWS/system32/dgsfgdljv.dll | 2008-8-5 3:41:20 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Advanced Windows 32 Base API | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | advapi32.dll | advapi32.dll
C:/WINDOWS/system32/pserspxvh.dll | 2008-8-5 3:41:21 | Microsoft(R) Windows(R) Operating System | 5.1.2600.3119 | Windows NT BASE API Client DLL | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.3119 (xpsp_sp2_gdr.070416-1301) | Microsoft Corporation| ? | kernel32 | kernel32
C:/Program Files/Internet Explorer/PLUGINS/Windows64.Sys | 2008-8-5 3:51:44
C:/WINDOWS/system32/imgutilhx2.dll | 2008-8-6 10:25:9
C:/WINDOWS/system32/avicapwm.dll | 2001-8-6 1:10:43
C:/WINDOWS/system32/bootvidgj.dll | 2008-8-6 1:8:45
C:/WINDOWS/system32/dispexcb.dll | 2008-8-5 3:47:54
C:/WINDOWS/system32/certmgrkd.dll | 2008-8-6 1:8:5
C:/WINDOWS/system32/cliconfgzx.dll | 2008-8-5 3:47:16
C:/WINDOWS/system32/lweurqhx.dll | 2008-8-5 6:2:43
C:/WINDOWS/system32/adsntzt.dll | 2008-8-5 3:45:18
C:/WINDOWS/system32/mstimewd.dll | 2001-8-6 1:5:51
C:/WINDOWS/system32/zrzixfvu.dll | 2008-8-6 19:30:27
C:/WINDOWS/system32/dpvvoxmh.dll | 2008-8-6 1:3:55
C:/WINDOWS/system32/ddserh.dll | 2008-8-5 6:2:5
C:/WINDOWS/system32/fmcvxy.dll | 2008-8-5 3:51:24
C:/WINDOWS/system32/wzcfsw.dll | 2008-8-5 6:1:7
C:/WINDOWS/system32/tdfhex.dll | 2008-8-6 13:57:42
C:/WINDOWS/system32/jfrwdh.dll | 2008-8-5 6:7:31
C:/WINDOWS/system32/pedadt.dll | 2008-8-5 6:5:56
C:/Program Files/Internet Explorer/IEXPLORE32.Sys | 2008-8-5 7:51:36
C:/WINDOWS/System32/csrss.exe* 512 | 2004-8-17 4:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Client Server Runtime Process | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CSRSS.Exe | CSRSS.Exe
C:/WINDOWS/system32/gdipro.dll | 2004-8-17 4:0:0
C:/WINDOWS/system32/sys07003.dll | 2004-8-17 4:0:0
C:/WINDOWS/System32/winlogon.exe* 536 | 2004-8-17 4:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE
C:/WINDOWS/system32/zsqf.dll | 2008-8-6 1:9:3
O2 - BHO - {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} = C:/Program Files/Internet Explorer/PLUGINS/Windows64.Sys | 2008-8-5 3:51:44
O2 - BHO - {E6C0D0E3-9E9A-489D-AE19-BBCFC7047A59} = C:/Program Files/Internet Explorer/IEXPLORE32.Sys | 2008-8-5 7:51:36
O4 - HKLM/../Run: [HBService] C:/WINDOWS/system32/HBInject.exe
O20 - AppInit_DLLs = zsqf.dll ,ytfa.dll,ytfb.dll,ytfc.dll
O24 - ShlExecHook: [] - {2876D76C-CAAA-4313-AF97-8D1D9A2A1087} = C:/WINDOWS/system32/dpvvoxmh.dll | 2008-8-6 1:3:55
O24 - ShlExecHook: [] - {21BE5FDF-D4CB-4850-AD99-21E68B50BF3F} = C:/WINDOWS/system32/zrzixfvu.dll | 2008-8-6 19:30:27
O24 - ShlExecHook: [] - {00180018-0018-0018-0018-00180018BB15} = C:/WINDOWS/system32/mstimewd.dll | 2001-8-6 1:5:51
O24 - ShlExecHook: [] - {E0F3526A-4165-4589-80CD-50B6FBAC3BDA} = C:/WINDOWS/system32/adsntzt.dll | 2008-8-5 3:45:18
O24 - ShlExecHook: [] - {71A78CD4-E470-4a18-8457-E0E0283DD507} = C:/WINDOWS/system32/lweurqhx.dll | 2008-8-5 6:2:43
O24 - ShlExecHook: [] - {898E02AB-9372-4a2c-9C4A-FFE1AF61097F} = C:/WINDOWS/system32/comuidsg.dll
O24 - ShlExecHook: [] - {7A6DF30E-D0F2-446f-B4F0-BF4232D60E07} = C:/WINDOWS/system32/cliconfgzx.dll | 2008-8-5 3:47:16
O24 - ShlExecHook: [] - {9E8287B0-0F3A-48ae-99C5-A6E0AAC36BC5} = C:/WINDOWS/system32/certmgrkd.dll | 2008-8-6 1:8:5
O24 - ShlExecHook: [] - {76D44356-B494-443a-BEDC-AA68DE4255E6} = C:/WINDOWS/system32/dispexcb.dll | 2008-8-5 3:47:54
O24 - ShlExecHook: [] - {D3112B69-A745-4805-874E-ABD480EA1299} = C:/WINDOWS/system32/bootvidgj.dll | 2008-8-6 1:8:45
O24 - ShlExecHook: [] - {00020002-0002-0002-0002-00020002BB15} = C:/WINDOWS/system32/avicapwm.dll | 2001-8-6 1:10:43
O24 - ShlExecHook: [MICROSOFT] - {73AE86E6-7F03-4C3B-8980-FB1DA157D3C7} = C:/WINDOWS/system32/fmcvxy.dll | 2008-8-5 3:51:24
O24 - ShlExecHook: [] - {D47A61B8-0EAB-417F-8DF4-5C949982A2AF} = C:/Program Files/Internet Explorer/PLUGINS/Windows64.Sys | 2008-8-5 3:51:44
O24 - ShlExecHook: [MICROSOFT] - {8C41B7F7-3168-400D-A702-0E7EFE0BA304} = C:/WINDOWS/system32/sgdewg.dll
O24 - ShlExecHook: [] - {E6C0D0E3-9E9A-489D-AE19-BBCFC7047A59} = C:/Program Files/Internet Explorer/IEXPLORE32.Sys | 2008-8-5 7:51:36
O24 - ShlExecHook: [] - {6B9FEAD7-4319-4312-AB05-D8C9CD255BFE} = C:/WINDOWS/system32/avicapwm.dll | 2001-8-6 1:10:43
O24 - ShlExecHook: [] - {00300030-0030-0030-0030-00300030BB15} = C:/WINDOWS/system32/imgutilhx2.dll | 2008-8-6 10:25:9
O24 - ShlExecHook: [MICROSOFT] - {841529CB-7F77-4B99-A895-B5441E0D302F} = C:/WINDOWS/system32/jfrwdh.dll | 2008-8-5 6:7:31
O24 - ShlExecHook: [MICROSOFT] - {0B846B26-BFE6-4E8E-A948-1DB17B77B483} = C:/WINDOWS/system32/tdfhex.dll | 2008-8-6 13:57:42
O24 - ShlExecHook: [MICROSOFT] - {5E907A48-400E-4EA8-9792-FFAE052D59E9} = C:/WINDOWS/system32/pedadt.dll | 2008-8-5 6:5:56
O24 - ShlExecHook: [MICROSOFT] - {A9895933-6636-4281-BC58-EE6DE2AF96E3} = C:/WINDOWS/system32/ddserh.dll | 2008-8-5 6:2:5
O24 - ShlExecHook: [MICROSOFT] - {28766E1C-74B0-4417-8C75-F12AE309EF35} = C:/WINDOWS/system32/wzcfsw.dll | 2008-8-5 6:1:7
O29 - HKCU-Start Page = hxxp://tb.9533.com/
O29 - HKCU-Search Page = hxxp://www.aogo.net
到 http://purpleendurer.ys168.com 下载 FileInfo提示文件信息,没下载bat_do打包处理。
下载了DrWeb CureIt!进行扫描,偶就回家了~
附部分恶意文件信息:
文件说明符 : C:/WINDOWS/system32/HBInject.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:9:4
修改时间 : 2008-8-7 8:53:52
大小 : 2560 字节 2.512 KB
MD5 : 537eb9dd599a5ebf44e99d4f086797ba
SHA1: F38A1EE9D9EC4019A4B836832C95DBBB005902AA
CRC32: c54019a1
文件说明符 : C:/WINDOWS/system32/HBmhly.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:9:3
修改时间 : 2008-8-6 9:3:40
大小 : 19456 字节 19.0 KB
MD5 : 32854f7d75d25de0b736685c02385604
SHA1: F2E770F9A9CB2C5A0B837BAF6DC7434EFB244ACB
CRC32: 308f0a98
卡巴斯基报为:*-GameThief.Win32.OnLineGames.soak,瑞星报为*.PSW.Win32.XYOnline.agq
文件说明符 : C:/WINDOWS/system32/zsqf.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:9:3
修改时间 : 2008-8-6 18:56:24
大小 : 3697 字节 3.625 KB
MD5 : b987c23754c477aab3418a88f546b380
SHA1: D71A72E80227B593BCC393AC15AE2C8C50432646
CRC32: 3b94ffe7
文件说明符 : C:/WINDOWS/system32/dgsfgdljv.dll
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Advanced Windows 32 Base API
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : advapi32.dll
源文件名 : advapi32.dll
创建时间 : 2008-8-5 11:41:20
修改时间 : 2004-8-17 12:0:0
大小 : 674304 字节 658.512 KB
MD5 : 7a6ba833851cf17f32fab3bfba62da75
SHA1: 769518238168F0D8A439678E59C8A4D865E0068A
CRC32: 3a2ed038
文件说明符 : C:/WINDOWS/system32/pserspxvh.dll
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.3119 (xpsp_sp2_gdr.070416-1301)
说明 : Windows NT BASE API Client DLL
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.3119
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : kernel32
源文件名 : kernel32
创建时间 : 2008-8-5 11:41:21
修改时间 : 2007-4-16 23:54:26
大小 : 1145344 字节 1.94 MB
MD5 : ec8a0d03d78ffa7fee94a6f2d8719c49
SHA1: 46E5861696952D70F1898C61E10A7AEEAB4C80B9
CRC32: 1cc8fa13
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/Windows64.Sys
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 11:51:44
修改时间 : 2008-8-5 11:51:46
大小 : 48254 字节 47.126 KB
MD5 : 06c10ec61c7c16c469d6982dc548fe63
SHA1: 153D5C104A6E00E1BFDBB6338FC5DB4E7EA959A6
CRC32: da52a33c
文件说明符 : C:/WINDOWS/system32/imgutilhx2.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 18:25:9
修改时间 : 2008-8-6 18:25:12
大小 : 758420 字节 740.660 KB
MD5 : 715e67d849389f7dc124bf3e2cbc20e0
SHA1: AA438E0A81CBE01F988261A219FF882F2610915F
CRC32: 6aac8025
文件说明符 : C:/WINDOWS/system32/avicapwm.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2001-8-6 9:10:43
修改时间 : 2001-8-6 9:10:44
大小 : 664492 字节 648.940 KB
MD5 : 316f2e38ebbcbc52547a7673d9642f4a
SHA1: B1A0239765CD7A385C8E972AFBF5B3DEB91EBDC2
CRC32: 194730f7
文件说明符 : C:/WINDOWS/system32/bootvidgj.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:8:45
修改时间 : 2008-8-6 9:8:48
大小 : 770476 字节 752.428 KB
MD5 : 30aab4854cbe72a24921af925c36a57d
SHA1: 7A7E1C5F3396594DAC1675DFCE1F94290B11FFB4
CRC32: 7083c718
文件说明符 : C:/WINDOWS/system32/dispexcb.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 11:47:54
修改时间 : 2008-8-5 11:47:56
大小 : 736172 字节 718.940 KB
MD5 : 25f2d8c99b7f63505beb4e9aca0e11ff
SHA1: 1713B36D85BDDADBA471D474587CA90D8D5E68EE
CRC32: 857e0fb0
文件说明符 : C:/WINDOWS/system32/certmgrkd.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:8:5
修改时间 : 2008-8-6 9:8:8
大小 : 592812 字节 578.940 KB
MD5 : 3e57ddab0a48176d24c223fb17d8dac6
SHA1: CB25D9BD04269A4F308C363611DD72770515FBD0
CRC32: aea63e75
文件说明符 : C:/WINDOWS/system32/cliconfgzx.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 11:47:16
修改时间 : 2008-8-5 11:47:18
大小 : 597140 字节 583.148 KB
MD5 : cb03143c0aad43798173e961257e2143
SHA1: B7ACF24A353856560301C5ADEF4B1EE7B23A267C
CRC32: ce099276
文件说明符 : C:/WINDOWS/system32/lweurqhx.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 14:2:43
修改时间 : 2008-8-5 14:2:44
大小 : 877484 字节 856.940 KB
MD5 : a67981100837403f7730c3b5146d9fc1
SHA1: E9B6A4683C45ADC08D92FF6A405AF6C84F92BA22
CRC32: 853e5cf3
文件说明符 : C:/WINDOWS/system32/adsntzt.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 11:45:18
修改时间 : 2008-8-5 11:45:20
大小 : 575776 字节 562.288 KB
MD5 : 0cc77e6125270573dbc651b84fedf227
SHA1: A6B1DA5644E34582D868E38FEDAD9E429CBF3219
CRC32: fdf40ca7
文件说明符 : C:/WINDOWS/system32/mstimewd.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2001-8-6 9:5:51
修改时间 : 2001-8-6 9:5:52
大小 : 923796 字节 902.148 KB
MD5 : d5b5f221ec9deea02e62a7fd49fb8114
SHA1: F20A034479A4B0F384DF86C34CE6E42AA457DE14
CRC32: 49cf02ba
文件说明符 : C:/WINDOWS/system32/zrzixfvu.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-7 3:30:27
修改时间 : 2008-8-7 3:30:28
大小 : 634144 字节 619.288 KB
MD5 : b80e0faf08998b9949e34be0fcb2384e
SHA1: 60CF55F75DAB1B082ECD6268470CDCAA6400DD83
CRC32: a36f4529
文件说明符 : C:/WINDOWS/system32/dpvvoxmh.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:3:55
修改时间 : 2008-8-6 9:3:58
大小 : 613012 字节 598.660 KB
MD5 : ad114bff5eaa15c080c6bfe99c09294f
SHA1: 3EFE49FEF9FA1C5AA218D599C678273B548B48ED
CRC32: ea6125df
文件说明符 : C:/WINDOWS/system32/ddserh.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 14:2:5
修改时间 : 2008-8-7 7:54:2
大小 : 272384 字节 266.0 KB
MD5 : 52e3c4725521a3e3ea829da26e116235
SHA1: 1847BAD27C06089522E796F722E80DD0073D1660
CRC32: f4e1c33c
文件说明符 : C:/WINDOWS/system32/fmcvxy.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 11:51:24
修改时间 : 2008-8-7 7:54:2
大小 : 240128 字节 234.512 KB
MD5 : 790ec7691705abdb785147c891b8ed04
SHA1: 24129CE2B43647AA6820DD7FC16A7828A22FD1A7
CRC32: 592f5bb9
文件说明符 : C:/WINDOWS/system32/wzcfsw.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 14:1:7
修改时间 : 2008-8-7 7:54:2
大小 : 265216 字节 259.0 KB
MD5 : 4afb3b97b7fa0bc28afffce5ca41dd06
SHA1: 07C34480F94D44E0357F99B51F40661DB1744B9E
CRC32: 5c616ee2
文件说明符 : C:/WINDOWS/system32/tdfhex.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 21:57:42
修改时间 : 2008-8-7 7:24:6
大小 : 247296 字节 241.512 KB
MD5 : 754e11a65ce1ae5dc3df407726bb6631
SHA1: 11AC1EDFB640C5BC4494C81DA19B10CB74E96057
CRC32: 259f32c7
文件说明符 : C:/WINDOWS/system32/jfrwdh.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 14:7:31
修改时间 : 2008-8-7 7:24:12
大小 : 225792 字节 220.512 KB
MD5 : 3b6e8b00bf98cc02db82703047eed27d
SHA1: 55A3BC051536A24797A4C546793EEDA203C2D3F4
CRC32: e98d06b0
文件说明符 : C:/WINDOWS/system32/pedadt.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 14:5:56
修改时间 : 2008-8-7 7:24:6
大小 : 229376 字节 224.0 KB
MD5 : 7aa4248861e9829462ff6c9d138f8c25
SHA1: 1EC12FD6BAAB7A03B5D87A89614CB3FF1A834F90
CRC32: e4e6d686
文件说明符 : C:/WINDOWS/system32/HBInject.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-6 9:3:39
修改时间 : 2008-8-7 8:53:52
大小 : 2560 字节 2.512 KB
MD5 : 537eb9dd599a5ebf44e99d4f086797ba
SHA1: F38A1EE9D9EC4019A4B836832C95DBBB005902AA
CRC32: c54019a1
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.Sys
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-8-5 15:51:36
修改时间 : 2008-8-6 11:57:16
大小 : 31370 字节 30.650 KB
MD5 : 877b08b1b6e2efaee2479a1a0662ca17
SHA1: 6ED0D2D4082E9FF1C9DB32C92588D2C130ADF41E
CRC32: 0253c062