一位朋友的電腦最近出現異常情況,開機進入桌面後會自動安裝 7k7k遊戲、淘寶網、開心小工具、折子購物、愛奇藝之類亂七八糟的東東,解除安裝後下次開機又出來。
電腦中安裝的電腦管家在開機時會提示svchost.exe試圖自動修改IE首頁,已攔截。
随後系統不斷彈出錯誤提示框:
Unable to write to C:\Users\Public\Desktop\InterNet Explorer.url
直到Stack orerflow,系統彈出新的錯誤提示框:
Windows服務主程序已停止工作。出現了一個問題,出現一個問題,導緻程式停止正常工作,請關閉該程式。
用電腦管家體檢修複,仍然沒有解決問題。
用pe_xscan掃描,發現有如下可疑啟動項:
pe_xscan 11-03-17 by Purple Endurer
2015-3-23 20:45:0
Windows Windows 7 Service Pack 1(6.1.7601)
MSIE:9.11.9600.17691
管理者使用者組
正常模式
O4 - HKLM\..\run: [zpmc] rundll32 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL Start
O23 - 服務: usbadmi (usbadmi) - C:\Windows\System32\Drivers\usbadmi.sys |$X(系統)
用WinRAR檢查C:\Windows\Web\Wallpaper檔案夾,沒有發現B0C2FE~1.DLL,隻有一個名為b0c2fe7b4751a9b83f249894bc8ad051.jpg的檔案。
檔案說明符 : C:\Windows\Web\Wallpaper\b0c2fe7b4751a9b83f249894bc8ad051.jpg
屬性 : A---
數字簽名 : 否
PE檔案 : 否
建立時間 : 2015-3-26 21:26:8
修改時間 : 2015-3-26 21:26:8
大小 : 1840221 位元組 1.773 MB
MD5 : 65b2e6af96852d3b28331a3e438a0496
SHA1: 4BDDA68F499911E6B30B6265860FC5B32F74F42C
CRC32: 57834f92
居然有近1.8 MB,用IrfanView打開:
像素才是205×629×24 BPI,明顯不比對。
在C:\Windows\Web\Wallpaper下建立一個名為B0C2FE~1.DLL的檔案夾,設定隻讀、系統、隐藏屬性。
結果随後在關機和開機時會彈出錯誤提示框:
啟動 C:\Windows\Web\Wallpaper\B0C2FE~1.DLL 時出現問題,拒絕通路。
檔案說明符 : c:\windows\system32\drivers\usbadmi.sys
屬性 : A---
數字簽名:Beijing fun Ecommerce Co., Ltd
PE檔案 : 是
擷取檔案版本資訊大小失敗!
建立時間 : 2015-3-22 10:29:40
修改時間 : 2015-3-22 10:33:23
大小 : 330544 位元組 322.816 KB
MD5 : e9196f934afa3a911233aadf6093f1da
SHA1: B8C0318A4847B3DBB6B39961E02244024BBA81BD
CRC32: 9dade4c8
上傳多殺毒引擎掃描結果http://r.virscan.org/report/0c4d5ed3f4cd9464612dc5cdbb2a92dd
| 掃描結果:5%的殺軟(2/39)報告發現病毒 |
| 時間: 2015-03-27 00:33:15 (CST) |
| 軟體名稱 | 引擎版本 | 病毒庫版本 | 病毒庫時間 | 掃描結果 | 掃描耗時 |
| ANTIVIR | 1.9.2.0 | 1.9.159.0 | 7.11.219.114 | 沒有發現病毒 | 16 |
| AVAST! | 150226-0 | 4.7.4 | 2015-02-26 | 沒有發現病毒 | 31 |
| AVG | 2109/8526 | 10.0.1405 | 2015-01-30 | 沒有發現病毒 | 6 |
| ArcaVir | 1.0 | 2011 | 2014-05-30 | 沒有發現病毒 | 8 |
| Authentium | 4.6.5 | 5.3.14 | 2013-12-01 | 沒有發現病毒 | 1 |
| Baidu Antivirus | 2.0.1.0 | 4.1.3.52192 | 2.0.1.0 | 沒有發現病毒 | 4 |
| Bitdefender | 7.58879 | 7.90123 | 2015-01-16 | 沒有發現病毒 | 1 |
| ClamAV | 20239 | 0.97.5 | 2015-03-26 | 沒有發現病毒 | 1 |
| Comodo | 15023 | 5.1 | 2015-03-25 | 沒有發現病毒 | 3 |
| Dr.Web | 5.0.2.3300 | 5.0.1.1 | 2015-01-23 | 沒有發現病毒 | 31 |
| F-PROT | 4.6.2.117 | 6.5.1.5418 | 2015-03-24 | 沒有發現病毒 | 1 |
| F-Secure | 2014-04-02-01 | 9.13 | 2014-04-02 | 沒有發現病毒 | 5 |
| Fortinet | 25.125, 25.125 | 5.1.158 | 2015-03-25 | 沒有發現病毒 | 1 |
| GData | 25.820 | 25.820 | 2015-03-25 | 沒有發現病毒 | 8 |
| IKARUS | 1.06.01 | V1.32.31.0 | 2015-01-30 | 沒有發現病毒 | 14 |
| NOD32 | 0801 | 3.0.21 | 2014-11-29 | 沒有發現病毒 | 1 |
| QQ手機 | 1.0.0.0 | 1.0.0.0 | 2015-03-25 | 沒有發現病毒 | 1 |
| Quickheal | 14.00 | 14.00 | 2015-03-25 | 沒有發現病毒 | 2 |
| SOPHOS | 5.08 | 3.55.0 | 2014-12-01 | 沒有發現病毒 | 7 |
| Sunbelt | 3.9.2623.2 | 3.9.2623.2 | 2015-03-25 | 沒有發現病毒 | 1 |
| TheHacker | 6.8.0.5 | 6.8.0.5 | 2015-03-24 | 沒有發現病毒 | 1 |
| Vba32 | 3.12.26.3 | 3.12.26.3 | 2015-03-24 | 沒有發現病毒 | 3 |
| ViRobot | 2.73 | 2.73 | 2015-01-30 | 沒有發現病毒 | 1 |
| VirusBuster | 15.0.985.0 | 5.5.2.13 | 2014-12-05 | 沒有發現病毒 | 15 |
| a-squared | 9.0.0.4453 | 9.0.0.4453 | 2014-07-03 | 沒有發現病毒 | 1 |
| nProtect | 9.9.9 | 9.9.9 | 2013-12-27 | 沒有發現病毒 | 3 |
| 卡巴斯基 | 5.5.33 | 5.5.33 | 2014-04-01 | 沒有發現病毒 | 19 |
| 奇虎360 | 1.0.1 | 1.0.1 | 1.0.1 | Win32/Trojan.Adware.37e | 13 |
| 安博士V3 | 9.9.9 | 9.9.9 | 2013-05-28 | 沒有發現病毒 | 4 |
| 安天 | AVL SDK 3.0 | 2014112615531100 | 2014-11-26 | 沒有發現病毒 | 1 |
| 江民殺毒 | 16.0.100 | 1.0.0.0 | 2015-03-24 | 沒有發現病毒 | 36 |
| 熊貓衛士 | 9.05.01 | 9.05.01 | 2015-03-25 | 沒有發現病毒 | 3 |
| 瑞星 | 25.59.01.04 | 25.59.01.04 | 2015-03-24 | 沒有發現病毒 | 1 |
| 百度殺毒 | 1.0 | 1.0 | 2014-04-02 | 沒有發現病毒 | 1 |
| 費爾 | 17.47.17308 | 1.0.2.2108 | 2015-03-25 | 沒有發現病毒 | 6 |
| 賽門鐵克 | 20150323.001 | 1.3.0.24 | 2015-03-23 | 沒有發現病毒 | 1 |
| 趨勢科技 | 11.558.05 | 9.500-1005 | 2015-03-24 | 沒有發現病毒 | 1 |
| 邁克菲 | 7638 | 5400.1158 | 2014-11-30 | 沒有發現病毒 | 7 |
| 金山毒霸 | 2.1 | 2.1 | 2013-09-22 | Win32.ADWARE.Advert.ac.(kcloud) |