sprint.dll及自动打开网页的情况!2008-09-30 20:01最近一些时间众多网页反应出现在开机就乱开网页,但360及其他安全工具检查都未发现异常。
自动弹出广告网站如当然不止这么多,还有很多=======================================
http:// w ww.checkoo.com/index.htm (钱库)
http:// sgfy.wy213.com/g/ali_sgfy_3.html(游侠三国风云)
http:// w ww.fangjia.com/ershoufang (上海二手房网)
http:// a.oadz.com/link/C/763/112042/CJ7D73dJa4iYprs-UvLlNP6AXkA_/a/2084?wow.ali 等等。
还有可能会出现股城网的一些9.18左右的页面!
有网页已经分析出是一个sprint,dll及spoolsv.exe被更改的情况,也是就是在启动后,系统以正常的名义调用,进而打开恶意网页的目的。
在单位里的机子是spoolsv.exe及家的用MD5想比较发现是被更改了,但是我在单位里的已经更新过了,还会不一样。下面是MD5比较值。
da81ec57acd4cdc3d4c51cf3d409af9f spoolsv.exe
f552ecf953ed9412ab16eca9515531a6 SPOOLSV.EXE
上面是正常的软件MD5已经网上认证过了。下面的明显不是。且我的系统是相同的。
我用windows清理助手时也提示了这个文件被更改,我用32\dllcace下的文件替换的,难道这下面的也被更改了,或者说是在正常后被更改了?因为我记得在更改完了,再开机是没有这种情况出现了。
后来把清理助手下的spoolsv下来分析,MD5没有改变,也是就是说在32\dllcace上文件还没有被感染。
但进行正常替换后为什么又会出现更改呢,我不得而知,还在分析中。。
但今天远程到单位的机子没连接下,经同事查看,原来机子重启了,开了远程软件上去分析下,把spoolsv下来分析,就得出MD5不同。文件被更改。
且有一个很重要的说明:
在我c盘的根目录下出现了一个inclick.txt文件,里面的内容如下:
6:18 L* KillOldProcess 1576 svchost.exe NT AUTHORITY\NETWORK SERVICE .
02:06:18 TestClick_Mutex_New exsited svchost
02:06:18 InstallClick GetServiceInfo 2 spooler C:\WINDOWS\system32\spoolsv.exe
02:06:18 InstallClick GetServiceInfo 3 alg C:\WINDOWS\System32\alg.exe
02:06:18 InstallClick GetServiceInfo 0 dfs
02:06:18 InstallClick GetServiceInfo 3 vss C:\WINDOWS\System32\vssvc.exe
02:06:18 InstallClick GetServiceInfo 3 SysmonLog C:\WINDOWS\system32\smlogsvc.exe
02:06:18 CreateNewFile(C:\WINDOWS\system32\mspush.dll) err2 0
02:06:18 InstallClick 11 spooler C:\WINDOWS\system32\spoolsv.exe
02:06:21 InstallClick StaticInsert 2 spooler C:\WINDOWS\system32\spoolsv.exe
02:06:21 InstallClick Success
明显在机子重启前进行了文件替换,并且触发RPC,进而出现1分钟关机现象,重启后就不断的跳出网页。
希望高手分析这个inclick文件,查出是哪个程序引起的,我想问题可以解决了。
SkypeComm.dll
gdimnt.dll
|
|
