| 发表于:2008-01-09 22:16:331楼 得分:0 |
这个dll可能是由某个sys文件来加载的
可参考:
http://endurer.bokee.com/6594226.html
25jurdcyw4.sys,promote.dll/adware.win32.agent.nrc,mnbgezuvepffc.dll/adware.win32.ejok.x等
endurer 原创
2008-01-06 第1版
有位网友发email来说他的电脑最近开机时出现出错提示框,说c:\windows\system32\****.dll 无法加载,****这个是数字的,记不清了。经朋友介绍,在偶的blog上发现了类似问题的解决方法的文章
绕过icesword文件检测的trojan.win32.mnless.zpc/ojj6erv.sys
http://blog.csdn.net/purpleendurer/archive/2007/11/27/1904076.aspx
http://endurer.bokee.com/6546536.html
http://blog.nnsky.com/blog_view_234611.html
http://blog.sina.com.cn/s/blog_49926d9101000ccy.html
http://blog.i0778.com/?1314/action_viewspace_itemid_4376.html
于是请偶帮助检修。
用pe_xscan扫描 log分析,发现如下可疑项:
/===
pe_xscan 07-12-26 by purple endurer
2008-1-6 18:17:54
windows xp service pack 2(5.1.2600)
管理员用户组
o2 - bho promote class - {0fa24e3e-422c-4d94-a125-104f32352c90} - c:\windows\system32\promote.dll
o2 - bho - {242f800b-2172-4659-a381-476b66e3de2a} - c:\windows\system32\mnbgezuvepffc.dll
o23 - 服务: 25jurdcyw4 (25jurdcyw4) - system32\drivers\25jurdcyw4.sys(引导)
o23 - 服务: bb-run () - system32\drivers\bb-run.sys(引导)
o23 - 服务: def2be (def2be) - c:\windows\system32\drivers\def2be.sys(自动)
o23 - 服务: dontgo () - system32\drivers\dontgo.sys(引导)
===/
用winrar检查,只找到前三个文件,其余的估计是被网友电脑中的卡巴杀掉了:
c:\windows\system32\promote.dll
c:\windows\system32\mnbgezuvepffc.dll
c:\windows\system32\drivers\25jurdcyw4.sys
用winrar打包备份,结果25jurdcyw4.sys不能打包,到 http://endurer.ys168.com 下载 icesword,复制了一个打包,再强制删除25jurdcyw4.sys。
到 http://endurer.ys168.com 下载 hijackthis 修复 o2 项。
到 http://tool.ikaka.com 下载 瑞星卡卡安全助手,在[高级功能]—>[系统启用项管理]里,在左边点击[驱动],在右边找到 o23项对应的项目,右击,从弹出的菜单里选择删除。
重启电脑,不再出现那个提示框了……
这个 25jurdcyw4.sys 没有隐藏自身的文件,处理起来婪比 ojj6erv.sys 容易……
文件说明符 : c:\windows\system32\promote.dll
属性 : a---
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : promotedemo module
版权 : copyright 2006
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : promotedemo module
公司名称 :
合法商标 :
内部名称 : promotedemo
源文件名 : promotedemo.dll
创建时间 : 2007-12-11 14:29:51
修改时间 : 2007-12-11 14:29:51
访问时间 : 2007-12-11 14:29:51
大小 : 28672 字节 28.0 kb
md5 : 9b49898abca8a77ad349b8ebd6823f55
sha1: da6e5b96aef77371b391a334a2e06b76658cfb02
crc32: fbdc8747
瑞星报为 adware.win32.agent.nrc
文件说明符 : c:\windows\system32\mnbgezuvepffc.dll
属性 : a---
语言 : 中文(中国)
文件版本 : 1.0.0.0
说明 :
版权 :
备注 :
产品版本 : 1.0.0.0
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-12-11 14:27:26
修改时间 : 2007-12-11 14:27:26
访问时间 : 2007-12-11 14:27:26
大小 : 1108480 字节 1.58 mb
md5 : 7a7f6cced6f1bcc16cffbc725b0a922d
sha1: a5f89e6788405f69907d314b89fcd2bcbc4f27cf
crc32: 4550f29c
瑞星报为 adware.win32.ejok.x
文件说明符 : d:\test\25jurdcyw4.sys
属性 : a---
获取文件版本信息大小失败!
创建时间 : 2008-1-6 22:24:58
修改时间 : 2008-1-6 18:39:30
访问时间 : 2008-1-6 0:0:0
大小 : 22560 字节 22.32 kb
md5 : 5a3678283126d82a41a315fe0be884fe
sha1: 01b1b85e58de4e04d17e07968beea989ef87e35e
crc32: 58934d0b
你可以使用这个链接引用该篇文章 http://publishblog.blogchina.com/blog/tb.b?diaryid=6594226
| | |
|
