endurer原创
2005.11.08 第3版 补充了Kaspersky对可疑服务的文件Distfsv.exe等的反应
2005.11.07 第2版 补充了瑞星关于可疑服务的文件Distfsv.exe等的回复。
2005.11.04 第1版 创建
*注:为了安全起见,文中恶意网址的“http://”均用“hxxp://”代替。
昨晚帮同事解决了浏览器被web.9983.com劫持及不定期弹出广告窗口的问题,这里记一下症状、分析和修复过程,并提一些建议。
同事的电脑使用Window XP,安装有金山毒霸2005。
一、症状
IE首页被改为web.9983.com,无法重新设置
无法使用注册表编辑器
开机时并不定期地弹出www.uu500.com等多个广告网页
桌面出现恶意网页
二、分析与修复
1、下载并运行瑞星注册表。用来查看EXE或TXT文件关联是否被修改了,如果被修改了,可以用它来修复。
2、到控制面板里,打开“添加删除程序”,卸载了一搜、雅虎助手等插件。
3、使用HijackThis扫描(您可以到http://endurer.ys168.com的tools/系统分析和修复里下载HijackThis ),发现并修复如下项目:
O4 - HKCU/../Run: [IEXPLORE.EXE] IEXPLORE.EXE hxxp://www.uu500.com
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O6 - HKLM/Software/Policies/Microsoft/Internet Explorer/Restrictions present
O7 - HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem, DisableRegedit=1
同时发现两个可疑的服务:
Distributed File System Services: C:/WINDOWS/System32/Distfsv.exe -service
Windows Audio Services: C:/WINDOWS/System32/Winms.exe -service
把它们停止并禁用了。
用瑞星在线扫描,发现如下病毒(“瑞星杀毒助手”保存的扫描记录,您可以到到http://endurer.ys168.com的 tools/杀毒工具 里下载 “瑞星杀毒助手”):
2005-11-3 20:53:49 瑞星杀毒助手
Windows XP (5.1.2600)
文件名 病毒名
C:/$NtUninstallQ1494$/3721.bat *.WinREG.StartPage.d
C:/FOUND.055/FILE0010.CHK Exploit.HTML.Mht
C:/WINDOWS/system32/nt_g_dll.dll *.DL.Agent.dqa
C:/WINDOWS/system32/Winms.exe *.DL.Agent.dpy
C:/WINDOWS/system32/nt_plus_dll.dll *.DL.Agent.dpz
C:/WINDOWS/system.hta Script.Adware.Yobous.d
(关于C:/WINDOWS/system.hta的分析,请参考: 对病毒Script.Adware.Yobous.d的一些分析和建议 )
(除了C:/WINDOWS/system.hta外,其他病毒文件Kaspersky均可查杀。)
5、用“瑞星杀毒助手”删除了:
C:/$NtUninstallQ1494$/3721.bat
C:/FOUND.055/FILE0010.CHK
C:/WINDOWS/system32/Winms.exe
C:/WINDOWS/system.hta
但
C:/WINDOWS/system32/nt_g_dll.dll
C:/WINDOWS/system32/nt_plus_dll.dll
无法删除。
用“瑞星杀毒助手”的“改所有文件名”和“下次启动时删除”功能来解决它。
6、找到可疑服务的文件:
C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll
但不能打包备份,也不能删除。
另外发现文件C:/WINDOWS/System32/autoup.t的内容为:
[UPDATE]
Ver=51016
UpDate=2005.9.20 08:37:24
FileCount=1
File1=hxxp://web.9983.com/autodown/20051016.exe
FileName1=sdt_auto_v51016.exe
FileExc1=1
MeExit=1
[hosts]
File=hxxp://web.9983.com/autodown/host.htm
hosts=1
把hxxp://web.9983.com/autodown/20051016.exe下载回来,发现此文件与Winms.exe完全相同。
7、关闭系统还原功能。具体操作可参考:【系统修复系列之】如何 禁用 或 启用 Windows XP 系统还原
8、清空IE临时文件夹。具体操作可参考:【系统修复系列之】如何 清空IE临时文件夹
9、为了获得可疑文件
C:/WINDOWS/System32/Distfsv.exe
C:/WINDOWS/System32/Distfsv1.dll
C:/WINDOWS/System32/Distfsv2.dll
重新启动计算机到安全模式(具体操作可参考:【系统修复系列之】如何 以安全模式启动 ),把这三个文件打包备份,然后删除。
10、重新启动计算机到正常模式,系统工作正常。
三、建议:
1。拒绝访问恶意网站。
大家可以把以下内容:
127.0.0.1 web.9983.com
127.0.0.1 www.uu500.com
加入hosts文件(具体操作可参考:【系统修复系列之】如何 检修 和 利用 hosts文件 )。
或者把下列网址
web.9983.com
www.uu500.com
加入拒绝访问列表(具体操作可参考:【系统修复系列之】如何 使用IE中的分级审查功能 )。
2。选择并安装好的防病毒软件并打开实时监控。 有些防病毒软件实在是中看不中用。
3。打开系统自动更新功能,并及时打系统补丁(使用Windows XP的朋友请慎重考虑)。可参考:【系统修复系列之】如何 进行系统更新/打系统补丁
4。使用Maxthon或GreenBrowser来浏览网页。
*2005.11.07补充
瑞星关于可疑服务的文件Distfsv.exe等的回复:
| 主 题: | 瑞星客户服务中心__关于病毒问题的回复 | ||
| 发件人: | send@rising.net.cn | 发送时间:2005-11-07 13:12:51 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:autoup.t
不是病毒
2.文件名:Distfsv.exe
:)病毒名:*.DL.Small.bdi
3.文件名:Distfsv1.dll
:)病毒名:*.DL.Small.bdi
4.文件名:Distfsv2.dll
:)病毒名:*.DL.Small.bdi
我们将在较新的17.52.0版本中处理解决,请您届时将您的瑞星软件升级到17.52.0版本并且打开监控中心全盘杀毒。如果我们在测试过程中发现问题的话,我们会推迟一到两版本后升级。
*2005.11.08补充
Kaspersky将Distfsv.exe、Distfsv1.dll、Distfsv2.dll报为*-Downloader.Win32.Agent.yo