再战SVOHOST.exe、sxs.exe和command.com

endurer　原创

2006-10-23 第1版

有一位朋友电脑中QQ的键盘加密技术不能启动，让偶帮助看看。

到 ​​http://endurer.ys168.com​​ 下载 HijackThis 和 ProcView。

用HijackThis 扫描 log，发现几个可疑项：
/------------
Logfile of HijackThis v1.99.1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes: C:/WINDOWS/system32/SVOHOST.exe

O4 - HKLM/../Run: [SoundMam] C:/WINDOWS/system32/SVOHOST.exe
-------------/

其中 SVOHOST.exe 以前曾遇到过，与它同行的还有一个C:/WINDOWS/system32/winscok.dll。（可参考：​​阻击 瑞星 和 雅虎助手 的 SVOHOST.exe​​）
用 ProcView 检查，果然发现C:/WINDOWS/system32/winscok.dll注入了几个进程。如导出的进程列表中有：
/--------
*您正在使用的是Windows XP (WinNT 5.01.2600 SP2)
2006-10-21 13:57:46 进程列表
[System Process]
   C:/WINDOWS/system32/winscok.dll
C:/WINNT/Explorer.EXE
   C:/WINDOWS/system32/winscok.dll
--------/

重启电脑到安全模式下，用 WinRAR 把

/--------
C:/WINDOWS/system32/SVOHOST.exe
C:/WINDOWS/system32/winscok.dll
--------/

打包备份后删除。

再检查C:/，D:/，E:/ 和 F:/，发现 autorun.inf command.com sxs.exe 三个文件。其中D盘的这三个文件删除了，马上又重生了。删除E盘和F盘上的三个文件后，再回来删除D盘的，这回不再重生了。
检查QQ程序文件夹，发现TIMPlatform.exe文件的日期异常，传回来，Kaspersky立即报为 Trojan-Downloader.Win32.Small.czl。
卸载QQ。
用HijackThis修复上列可疑项目。
清空IE临时文件夹。
重启电脑后重装QQ。

command.com   Kaspersky 报为 Trojan-PSW.Win32.WOW.ki, Dr.Web 报为 Trojan.PWS.Wow
sxs.exe               Kaspersky 报为 Trojan-PSW.Win32.QQPass.os, Dr.Web 报为 Trojan.PWS.Qqpass.182
SVOHOST.exe           Kaspersky 报为 Trojan-PSW.Win32.QQPass.os, Dr.Web 报为 Trojan.PWS.Qqpass.182
TIMPlatform.exe       Kaspersky 报为 Trojan-Downloader.Win32.Small.czl, Dr.Web 报为 Trojan.PWS.Hert
winscok.dll           可惜没传回来。