» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 反病毒 » 请达人帮忙分析   作者: 标题: 请达人帮忙分析 ccfish 中级用户 积分 424 发帖 423 注册 2006-8-21 来自 中关村 #1  请达人帮忙分析 现像跟下面这位网友描述的一致，但我怀疑我没有杀干净   Quote: sprint.dll及自动打开网页的情况！2008-09-30 20:01最近一些时间众多网页反应出现在开机就乱开网页，但360及其他安全工具检查都未发现异常。 自动弹出广告网站如当然不止这么多，还有很多======================================= http:// w ww.checkoo.com/index.htm (钱库) http:// sgfy.wy213.com/g/ali_sgfy_3.html（游侠三国风云） http:// w ww.fangjia.com/ershoufang （上海二手房网） http:// a.oadz.com/link/C/763/112042/CJ7D73dJa4iYprs-UvLlNP6AXkA_/a/2084?wow.ali 等等。 还有可能会出现股城网的一些9.18左右的页面！ 有网页已经分析出是一个sprint,dll及spoolsv.exe被更改的情况，也是就是在启动后，系统以正常的名义调用，进而打开恶意网页的目的。 在单位里的机子是spoolsv.exe及家的用MD5想比较发现是被更改了，但是我在单位里的已经更新过了，还会不一样。下面是MD5比较值。 da81ec57acd4cdc3d4c51cf3d409af9f   spoolsv.exe f552ecf953ed9412ab16eca9515531a6   SPOOLSV.EXE 上面是正常的软件MD5已经网上认证过了。下面的明显不是。且我的系统是相同的。 我用windows清理助手时也提示了这个文件被更改，我用32\dllcace下的文件替换的，难道这下面的也被更改了，或者说是在正常后被更改了？因为我记得在更改完了，再开机是没有这种情况出现了。 后来把清理助手下的spoolsv下来分析，MD5没有改变，也是就是说在32\dllcace上文件还没有被感染。 但进行正常替换后为什么又会出现更改呢，我不得而知，还在分析中。。 但今天远程到单位的机子没连接下，经同事查看，原来机子重启了，开了远程软件上去分析下，把spoolsv下来分析，就得出MD5不同。文件被更改。 且有一个很重要的说明： 在我c盘的根目录下出现了一个inclick.txt文件，里面的内容如下： 6:18 L* KillOldProcess 1576 svchost.exe NT AUTHORITY\NETWORK SERVICE . 02:06:18 TestClick_Mutex_New exsited svchost 02:06:18 InstallClick GetServiceInfo 2 spooler C:\WINDOWS\system32\spoolsv.exe 02:06:18 InstallClick GetServiceInfo 3 alg C:\WINDOWS\System32\alg.exe 02:06:18 InstallClick GetServiceInfo 0 dfs 02:06:18 InstallClick GetServiceInfo 3 vss C:\WINDOWS\System32\vssvc.exe 02:06:18 InstallClick GetServiceInfo 3 SysmonLog C:\WINDOWS\system32\smlogsvc.exe 02:06:18 CreateNewFile(C:\WINDOWS\system32\mspush.dll) err2 0 02:06:18 InstallClick 11 spooler C:\WINDOWS\system32\spoolsv.exe 02:06:21 InstallClick StaticInsert 2 spooler C:\WINDOWS\system32\spoolsv.exe 02:06:21 InstallClick Success 明显在机子重启前进行了文件替换，并且触发RPC，进而出现1分钟关机现象，重启后就不断的跳出网页。 希望高手分析这个inclick文件，查出是哪个程序引起的，我想问题可以解决了。 SkypeComm.dll gdimnt.dll Ｃ盘根目录下文件 微点日志 ※ ※ ※ 本文纯属【ccfish】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-8 00:58 ccfish 中级用户 积分 424 发帖 423 注册 2006-8-21 来自 中关村 #2   ※ ※ ※ 本文纯属【ccfish】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-8 01:00 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #3   楼主加QQ： 383154254    466248167  为好友，请他们帮您看下。 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-10-8 07:00 images 银牌会员 积分 1429 发帖 1376 注册 2007-11-17 #4   看你的木马日志，病毒已经在30日被杀了，之后没有出现过相同的木马。 还有你的那个记事本文件手动删除试试看是否还会再声称，C:\WINDOWS\system32\spoolsv.exe也可以发给官方分析下。 ※ ※ ※ 本文纯属【images】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ All accepted English For a slim figure, share your food with the hungry. 给images发短消息 2008-10-9 10:07 Legend 超级版主 超级版主 积分 77171 发帖 70170 注册 2005-10-29 #5   请问楼主是否加群解决，如果没有，请及时联系我们解决 ※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※ 微点官方认证新浪微博：欢迎进入 微点新浪微博 微点技术支持邮箱: support@micropoint.com.cn 给Legend发短消息 2008-10-10 17:34 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号