當前位置：首頁 > 编程资源 > 编程问答 >内容正文

编程问答

04-03/遭遇 rookit/ynqcq.sys 和 wswci.dll,xexq.dll,baidu.dll等广告程序/2版

發布時間：2024/3/26 编程问答 32 豆豆

生活随笔收集整理的這篇文章主要介紹了 04-03/遭遇 rookit/ynqcq.sys 和 wswci.dll,xexq.dll,baidu.dll等广告程序/2版小編覺得挺不錯的,現在分享給大家,幫大家做個參考.

endurer 原創
2007-04-01 第2版補充了Kasersky對一些可疑文件的反應
2007-04-01 第1版

前兩天，一位網友的電腦的瑞星報告發現RootKit.Agent.va，文件名為ynqcq.sys，但清除不了，又使用一個木馬查殺軟件發現有廣告程序，因為是未注冊，無法清除。

瑞星的登錄前掃描對付rootkit是不錯的，可惜這位網友使用了自動登錄Windows……

用 pe_xscan 掃描日志，發現如下可疑項（有了分析網頁，效率提高了很多）：
/---
pe_xscan 07-03-17 by Purple Endurer
2007-3-29 15:17:54
Windows XP Service Pack 2(5.1.2600)
管理員用戶組

C:/WINDOWS/System32/svchost.exe * 916 | 2005-8-14 5:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
??? c:/progra~1/common~1/lgqmidb/lgqmidb.dll | 2007-3-25 15:2:31 |? | 2, 8, 0, 1 |? |? | 2, 8, 0, 1 |?? |? |? |

??? C:/PROGRA~1/nund/xexq.dll | 2007-3-25 14:58:29 |?? AdDm | 4, 1, 0, 4 | AdDm | Copyright ? 2006 | 4, 1, 0, 4 |?? |? | AdDm | AdDm.exe

??? C:/PROGRA~1/nund/cjcv.dll | 2007-3-25 14:58:29 |?? stdvote | 1, 0, 0, 6 | stdvote | Copyright ? 2006 | 1, 0, 0, 6 |?? |? | stdvote | stdvote.dll

C:/WINDOWS/system32/zlglfef.exe * 2068 | 2005-3-25 14:59:0
??? C:/WINDOWS/system32/zlglfef.exe | 2005-3-25 14:59:0

O4 - HKLM/../Policies/Explorer/Run: [sys41] C:/Program Files/Common Files/d1216.exe
O4 - HKLM/../Policies/Explorer/Run: [sys42] C:/Documents and Settings/NetworkService/Local Settings/History/d16704.exe
O4 - Global Startup: sys41.lnk -> C:/Program Files/Common Files/d1216.exe
O4 - Global Startup: sys42.lnk ->

O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/restrictions 存在 IE或Internet選項可能受到限制
O6 - HKCU/Software/Policies/Microsoft/Internet Explorer/Control Panel 存在 IE或Internet選項可能受到限制

O23 - 服務: dump_wmimmc (dump_wmimmc) - C:/WINDOWS/system32/drivers/dump_wmimmc.sys(手動)

O23 - 服務: fgqmcdb () - C:/WINDOWS/System32/svchost.exe -k netsvcs -> C:/PROGRA~1/COMMON~1/lgqmidb/lgqmidb.dll | 2007-3-25 15:2:31 |? | 2, 8, 0, 1 |? |? | 2, 8, 0, 1 |?? |? |? | (自動)

O23 - 服務: ndcia (ndcia) - C:/WINDOWS/system32/drivers/ndcia.sys(自動)

O23 - 服務: pxxzqo84 (pxxzqo84) - System32/DRIVERS/pxxzqo84.sys(禁用)

O23 - 服務: romman (romman) - C:/WINDOWS/system32/drivers/romman.sys(自動)

O23 - 服務: vssl (Std vssl Service) - C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/nund/xexq.dll,Service -s(自動)

O23 - 服務: ynqcq (ynqcq) - System32/DRIVERS/ynqcq.sys(引導)
---/

下載Dr.Web CureIt掃描，只清除了d1216.exe等幾個d開的惡意文件。
用IceSword強制刪除了ynqcq.sys，stdio.sys及其在注冊表中的服務項。
stdio.sys比較牛，改名后又自動恢復為原名，注冊表中的服務項在regedit中也刪不了。

另一個牛文件是C:/WINDOWS/system32/wswci.dll，Kaspersky 報為 Trojan-Downloader.Win32.Agent.bbb，Windows不存認這個文件存在，連文件時間都無法獲取，還好用IceSword復制了一個，傳了回來，再強制刪除。本來先用IceSword把它從內存中卸載掉更好，不過遠程使用IceSword太累了……

在c:/windows/system32下發現了一些可疑文件：realsled.exe（Kaspersky報為not-a-virus:AdWare.Win32.Agent.bs），_ao1.exe（Kaspersky報為Trojan-Downloader.Win32.Agent.bld），baidu.dll，ntdl1.dll（Kaspersky報為not-a-virus:AdWare.Win32.Agent.bs）等可疑文件。

用HijackThis修復，其中O4 - HKLM/../Policies/Explorer/Run這兩個是HijackThis 1.99.1不能修復的，可以用瑞星卡卡安全助手來取消。

C:/PROGRA~1/COMMON~1/lgqmidb、C:/PROGRA~1/nund這兩個文件夾中的東東很可疑

C:/PROGRA~1/nund/xexq.dll的內部名是AdDm.exe，Ad download and manager（廣告下載管理器）？
C:/PROGRA~1/nund/cjcv.dll內部名是stdvote.dll，與廣告程序stdstub的一個文件同名……

網友卻說是系統備份的東東，沒處理……

結果重啟電腦后，那個木馬查殺軟件仍然報告發現廣告程序……讓網友用IceSword去刪除這兩個文件夾……
?

總結

以上是生活随笔為你收集整理的04-03/遭遇 rookit/ynqcq.sys 和 wswci.dll,xexq.dll,baidu.dll等广告程序/2版的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。