Re: [中毒] 電腦自動倒數60秒重開機, 可是掃不到疾 …
※ 引述《underattack (Underattack)》之銘言:
: : 推 cmonkey:能向你要這個檔嗎? (沒中毒的spoolsv.exe ) 09/27 12:04
: : → junorn:http://sylovanas.myweb.hinet.net/Temp/spoolsv.exe 09/27 12:17
: 不好意思, 只是想問一下
: 利用 idaer 版友提供的
: http://www.virustotal.com/zh-tw/
: 測出板主分享的 spoolsv.exe 的 md5 是 da81ec57acd4cdc3d4c51cf3d409af9f
: idaer 說他的正常的是 6e4d4a38a64473b375a3e8c2df621e5c
: 二個都說正常
: 我電腦中的 spoolsv.exe 這二個md5都有, 且數位簽章都沒過
: 而且com報告中的數位簽章都沒過
: 請問要用哪一個比較好
: 我記得以前因為開IE就CPU100%, 所以有去更動過 spoolsv.exe這個檔就是了
我用我的系統(XP SP3 繁體中文專業版)說明
在命令提示元底下打
sigcheck %systemroot%\system32\spoolsv.exe 執行會出現類似訊息
sigcheck v1.53 - sigcheck
Copyright (C) 2004-2008 Mark Russinovich
Sysinternals - www.sysinternals.com
c:\windows\system32\spoolsv.exe:
Verified: Signed
Signing date: ?? 01:48 2008/4/15
Publisher: Microsoft Corporation
Description: Spooler SubSystem App
Product: Microsoft?Windows?Operating System
Version: 5.1.2600.5512
File version: 5.1.2600.5512 (xpsp.080413-0852)
版大提供的是SP2的版本:5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)
應該都可以用啦
題外話:
這隻病毒被執行後會幹掉自己 難怪有些人找不到v2messen.exe只找到sprint.dll
因為目的已經達成了XD 而spoolsv.exe也被修改了 被修改後的spoolsv
每次開機都會執行svchost 所以你的工作管理員會多出一個svchost
以下是中毒簡報 沒什麼特殊結論 只是騙騙P幣XD
需要工具:
1.Process Explorer v11.21
http://download.sysinternals.com/Files/ProcessExplorer.zip
2.IceSword 1.22 英文版
http://mail.ustc.edu.cn/%7Ejfpan/download/IceSword122en.zip
在Process Explorer底下觀察 中毒後的情況
有沒有看到Spoolsv.exe底下多出了svchost
http://img104.imagevenue.com/img.php?image=72985_01_spoolsv_122_47lo.jpg
這個svchost是正常的(檔案簽章:Verified) 只是病毒利用它來做壞事
http://img21.imagevenue.com/img.php?image=72986_02_spoolsv_122_1042lo.jpg
這個spoolsv.exe內容已經被竄改過了 所以檔案簽章:Unable to verify
http://img201.imagevenue.com/img.php?image=72992_03_spoolsv_122_371lo.jpg
打開工作管理員看看 竟然多出一個使用者KiLLER你自己執行的svchost.exe PID:1376
未中毒前的svchost數目:5個
http://img156.imagevenue.com/img.php?image=72993_04_taskmgr_122_1063lo.jpg
執行tasklist /svc 看看系統有哪些服務正在執行
http://img200.imagevenue.com/img.php?image=72999_05_tasklist_122_108lo.jpg
打開all.txt 你會發現除了正常的5個svchost.exe之外
還有一個中毒的spoolsv 跟 一個被反白的svchost
而這個svchost後面沒有任何服務 N/A <- 這是中這隻毒的現象
http://img181.imagevenue.com/img.php?image=73121_06_tasklist_122_116lo.jpg
前面文章有人懷疑winlogon.exe是不是被竄改了
結果是沒有 病毒沒有修改這個檔案
http://img233.imagevenue.com/img.php?image=73122_07_winlogon_122_377lo.jpg
現在我們用用鼎鼎大名的冰刃觀察看看 先到View 然後選Hided signed items
http://img134.imagevenue.com/img.php?image=73123_08_issetting_122_789lo.jpg
接著我們到Process裡 會發現spoolsv.exe出現了 以正常情況來說
spoolsv.exe不應該出現在這裡
http://img245.imagevenue.com/img.php?image=73128_09_isview01_122_123lo.jpg
在使用Process Explorer把有問題的spoolsv關掉後
再自行執行有問題的spoolsv.exe 會發現spoolsv自己掛載sprint.dll了
查看方式: 在有問題的檔案spoolsv上按右鍵 選Module Infomation
就會看到下面視窗了
img195.imagevenue.com/img.php?image=73129_10_afterclosespoolsv_122_455lo.jpg
http://tinyurl.com/449mgz 上面的網址太長 縮網址
http://messi.100webspace.net/10_afterclosespoolsv.jpg
然後利用tasklist/svc發現 愈來愈多svchost後面沒有服務
所以你在工作管理員底下 會發現超多svchost 數目大於5個以上 這裡是8個 冏
http://img138.imagevenue.com/img.php?image=73288_11_moresvchost_122_816lo.jpg
最後補上我系統裡的svchost 所執行的服務 僅供參考阿 科科
svchost.exe 1588 DcomLaunch, TermService
svchost.exe 1728 RpcSs
svchost.exe 1968 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
ERSvc, EventSystem,
FastUserSwitchingCompatibility, helpsvc,
LanmanServer, lanmanworkstation, Netman,
Nla, RasMan, Schedule, seclogon, SENS,
SharedAccess, ShellHWDetection, TapiSrv,
Themes, TrkWks, W32Time, winmgmt, wscsvc,
wuauserv, WZCSVC
svchost.exe 160 Dnscache
svchost.exe 392 Alerter, LmHosts, RemoteRegistry, SSDPSRV,
WebClient
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.138.58.234
推
09/28 11:33, , 1F
09/28 11:33, 1F
推
09/28 11:36, , 2F
09/28 11:36, 2F
→
09/28 11:37, , 3F
09/28 11:37, 3F
→
09/28 11:38, , 4F
09/28 11:38, 4F
※ 編輯: idaer 來自: 220.138.58.234 (09/28 11:48)
→
09/28 11:52, , 5F
09/28 11:52, 5F
推
09/28 11:58, , 6F
09/28 11:58, 6F
推
09/28 14:22, , 7F
09/28 14:22, 7F
推
09/28 18:37, , 8F
09/28 18:37, 8F
→
09/28 18:38, , 9F
09/28 18:38, 9F
→
09/29 07:36, , 10F
09/29 07:36, 10F
推
09/29 17:40, , 11F
09/29 17:40, 11F
討論串 (同標題文章)
本文引述了以下文章的的內容:
完整討論串 (本文為第 12 之 12 篇):