瑞星卡卡安全论坛

从前十分钟开始,真的就是前十分钟,只要执行任何可执行程序我的瑞星文件监控系统就会自动关闭,还能手动开启,可是就是任何文件都不执行,最多3分钟还是会把文件监控系统给自动关闭,求助.....

中招了。扫个日志看看

就在前三分钟，我的机器在杀毒呢，我听到杀毒的提示音了，然后想看一下是什么毒机器死机了，我用开机扫描啥也没扫出来，现在还在杀毒中.......版本是最新的昨天晚上升的级．我郁闷.....

http://endurer.bokee.com/6268160.html

抓获会关闭瑞星实时监控的HiJack.dll、Worm.Win32.Agent.z等/v2
关键词： 瑞星    实时监控    HiJack.dl    Worm.Win32.Agen                                         

endurer 原创
2007-05-14 第2版 补充瑞星的反应
2007-05-10 第1版

一位朋友说他的电脑中的瑞星的实时监控会自动关闭，即使手动打开后，过一会又会自动关闭，U盘也打不开，让偶帮忙检修。

检查发现，这位朋友用的瑞星病毒库是2007-02-11的，升不了级。

用 pe_xscan 扫描 log 并分析，发现如下可疑项：
/===
pe_xscan 07-03-17 by Purple Endurer
2007-5-10 21:31:14
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:\WINDOWS\Explorer.EXE * 1400 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:\Program Files\Internet Explorer\PLUGINS\HiJack.dll | 2007-5-10 15:9:40 | Microsoft(R) Windows (R) System | 5.00.1.0.1 | Microsoft Corporation Windows DLL | Copyright (C) 2006.6 | 1. 0. 0. 1 | Microsoft Corporation| ? | System  | System.dll

H:\autorun.inf
/-----
[autorun]
open=Ghost.pif
shellexecute=Ghost.pif
shell\Auto\command=Ghost.pif
shell=Auto
-----/

O24 - [] - {03F6E661-0D5F-3FAD-3E2B-E261E3CB6CD2} = C:\Program Files\Internet Explorer\PLUGINS\HiJack.dll
===/

其中H：为U盘盘符。

检查H盘，发现 Ghost.pif 和 TIMP1atform.exe。

到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 0.0.0003 beta1。

用 FileInfo 提取文件信息如下：


文件说明符 : C:\Program Files\Internet Explorer\PLUGINS\HiJack.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-9 11:41:25
修改时间 : 2007-5-10 15:9:40
访问时间 : 2007-5-10 0:0:0
大小 : 12341 字节 12.53 KB
MD5 : f3d36c0a5bac3eae2a28063cac087102

Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo，瑞星报为：Trojan. HiJack.a

文件说明符 : H:\Ghost.pif
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 16:12:50
修改时间 : 2007-5-9 11:41:22
访问时间 : 2007-5-10 0:0:0
大小 : 18997 字节 18.565 KB
MD5 : 45680654f7e984aa1781fbee26603042

Kaspersky 报为 Trojan-Downloader.Win32.Agent.bmo

文件说明符 : H:\TIMP1atform.exe
属性 : ASHR
获取文件版本信息大小失败!创建时间 : 2007-1-22 10:14:35
修改时间 : 2007-5-10 16:57:42
访问时间 : 2007-5-10 0:0:0
大小 : 266752 字节 260.512 KB
MD5 : 049058e75e502174052a23655034cbaa

Kaspersky 报为 Worm.Win32.Agent.z

用 bat_do 0.0.0003 beta1 调用RAR打包，并使用延时删除。

重启电脑后，瑞星实时监控不再自动关闭……

安装瑞星卡卡安全助手，卸载 O24 项。