这位朋友的日志问题比较多,处理起来比较麻烦,现将有关事项解释如下,希望大家从中学习到有关知识,同时也想求助下自己的几个疑问:
1、注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<rujookjb><C:\WINDOWS\uokbubia.exe> [N/A]
该路径下的RUN子项一般对应安装的程序文件,如果应用程序缺省安装,则主进程文件应在c:\program files\软件文件夹这个路径下,你会把应用程序安装到c:\windows目录下么?显然有诈……
2、驱动程序
[jtio / jtio][Stopped/Auto Start]
<\??\C:\WINDOWS\TEMP\tmp18.tmp><N/A>
[ping / ping][Stopped/Auto Start]
<\??\C:\WINDOWS\TEMP\tmpB.tmp><N/A>
[ptfs / ptfs][Stopped/Auto Start]
<\??\C:\WINDOWS\TEMP\tmp16.tmp><N/A>
上面这些驱动程序映像文件均在C:\WINDOWS\TEMP\这个系统临时文件夹路径下,一般正常的驱动程序,其映像路径大部分应在c:\windows\system32\drivers目录下,以临时文件作为驱动程序映像文件,用意显然居心不良,砍了……
3、正在运行的进程
[PID: 740 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[C:\WINDOWS\system32\mfc40u.dll] [N/A, ]
这里,我们在C:\WINDOWS\system32\lsass.exe这个系统核心文件的子进程下,发现一个没有微软数字签名的“系统库文件”,到正常机下找同路径同名文件,会发现这个文件是有微软数字签名的,这表明C:\WINDOWS\system32\mfc40u.dll已被病毒文件替换。这个病毒是时下比较流行的感染系统核心文件
C:\WINDOWS\system32\lsass.exe的病毒,由于系统核心文件不可在windows下用任务管理器关闭,因此C:\WINDOWS\system32\mfc40u.dll这个病毒文件不能用常规方式删除,且即便通过使用dos工具强行把它删除,也会导致系统核心文件C:\WINDOWS\system32\lsass.exe无法从正常的C:\WINDOWS\system32\mfc40u.dll库文件调用运行,因此将导致系统启动出现严重错误。要解决这个问题,我们可以在PE环境下,用系统备份文件夹(c:\windows\system32\dllcache)中保存的同名备份文件替换此两个文件即可。
4、Winsock 提供者
MSAFD Tcpip [TCP/IP]
C:\Program Files\Windows NT\qasfo.dll(Microsoft Corporation, Microsoft Windows Sockets 2.0 Service Provider)
数字签名很完整,但C:\Program Files\Windows NT\qasfo.dll这个文件名和所在路径很猥琐,用GOOGLE查阅无记录,个人认为是修改默认winsocklsp的病毒,通过WINSOCKLSP天然自启动来实现做恶的目的。还不很确定,等高手确认。如果确认病毒,可用SRENG扫描工具的相关项目修复该winsock项。
5、HOSTS 文件
127.0.0.2 localhost
正常情况下本机hosts文件内容只有一行,即“127.0.0.1 localhost”。这个“127.0.0.2 localhost”是楼主自行修改的么?还是被病毒修改?正常么?一个疑问留给大家(我也不知道,别鄙视俺)
