偶遇 649453.sys / Adware.Cdn / Hacktool.Rootkit
endurer 原创
2007-09-04 第1版
一位网友说最近他的电脑工作速度很慢,让偶通过QQ远程协助处理。
下载 pe_xscan 扫描 log 并分析,只发现一个可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-4 20:58:58
Windows XP Service Pack 2(5.1.2600)
管理员用户组
O23 - 服务: 649453 (649453) - System32/drivers/649453.sys(引导)
===/
文件说明符 : C:/WINDOWS/system32/drivers/649453.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-10-21 11:32:58
修改时间 : 2006-10-21 11:33:0
访问时间 : 2007-9-4 0:0:0
大小 : 19968 字节 19.512 KB
MD5 : aaa3f5cf09cbdd013844ecf3764e1466
HSA1: AC835FAB36F34FCB4B05A94803C588952E04F964
Google了一下,没有关于这个文件的信息~
上传到 virustotal 扫描,结果如下:
文件 649453.sys 接收于 2007.09.04 15:16:53 (CET)
当前状态: 完成
结果:10/32 (31.25%)
反病毒引擎 | 版本 | 最后更新 | 扫描结果 |
AhnLab-V3 | 2007.9.4.1 | 2007.09.04 | - |
AntiVir | 7.4.1.66 | 2007.09.04 | TR/Rootkit.Gen |
Authentium | 4.93.8 | 2007.09.04 | - |
Avast | 4.7.1029.0 | 2007.09.04 | - |
AVG | 7.5.0.485 | 2007.09.04 | - |
BitDefender | 7.2 | 2007.09.04 | Adware.CDN |
CAT-QuickHeal | 9.00 | 2007.09.03 | - |
ClamAV | 0.91.2 | 2007.09.04 | - |
DrWeb | 4.33 | 2007.09.04 | - |
eSafe | 7.0.15.0 | 2007.09.03 | Win32.Hacktool |
eTrust-Vet | 31.1.5107 | 2007.09.04 | - |
Ewido | 4.0 | 2007.09.04 | Adware.Cdn |
FileAdvisor | 1 | 2007.09.04 | - |
Fortinet | 3.11.0.0 | 2007.09.04 | - |
F-Prot | 4.3.2.48 | 2007.09.04 | - |
F-Secure | 6.70.13030.0 | 2007.09.04 | - |
Ikarus | T3.1.1.12 | 2007.09.04 | Virus.Win32.Agent.KHP |
Kaspersky | 4.0.2.24 | 2007.09.04 | - |
McAfee | 5111 | 2007.09.03 | - |
Microsoft | 1.2803 | 2007.09.04 | VirTool:WinNT/Protmin.gen!B |
NOD32v2 | 2502 | 2007.09.04 | - |
Norman | 5.80.02 | 2007.09.04 | - |
Panda | 9.0.0.4 | 2007.09.04 | Adware/GoodSearchNow |
Prevx1 | V2 | 2007.09.04 | - |
Rising | 19.39.12.00 | 2007.09.04 | - |
Sophos | 4.21.0 | 2007.09.04 | - |
Sunbelt | 2.2.907.0 | 2007.08.31 | Hacktool.Rootkit |
Symantec | 10 | 2007.09.04 | Hacktool.Rootkit |
TheHacker | 6.1.9.177 | 2007.09.04 | - |
VBA32 | 3.12.2.3 | 2007.09.03 | - |
VirusBuster | 4.3.26:9 | 2007.09.04 | - |
Webwasher-Gateway | 6.0.1 | 2007.09.04 | Trojan.Rootkit.Gen |
附加信息
File size: 19968 bytes
MD5: aaa3f5cf09cbdd013844ecf3764e1466
SHA1: ac835fab36f34fcb4b05a94803c588952e04f964
到 http://ndurer.ys168.com 下载 auto_del,把 C:/WINDOWS/system32/drivers/649453.sys 加入待删文件列表,下次启动时删除。
用 regedit 删除了对应的服务项。
继续检查,发现c盘可以空间很少,临时文件夹里文件N多~
让网友自己用 开始-->程序-->附件-->系统工具-->磁盘清理来清理C盘,用WinRAR 清空c:/windows/prefetch
接着扫描C盘,整理磁盘碎片~
