请偶帮忙解决。

　　先尝试常规方法：

　　开始 → 运行 → 输入：services.msc，确定→ 找到windows installer 服务，禁用

　　重启电脑，再启用windows installer 服务

　　又出现新的问题：

　　检查该服务的命令行，没有问题。

　　开始 → 运行 → 输入：misiexec　/regserver 确定

　　再启用windows installer 服务

　　搞定！

　　按常规方法：

　　1、右键点“我的电脑”，左键点“属性”、“高级”、“设置”、再点“性能”里的“设置”，在“视觉效果”选项卡中选择“自定义”，然后将下面所有的选项中前面的勾去掉，只留下“在桌面上为图标标签使用阴影”这一条前面保持打勾，然后确定。

　　2、如果不行，在桌面空白处点右键，在弹出的菜单中把“排列图标”中的“在桌面上锁定桌面项目”的勾去掉。

　　无效……

　　继续第3步：

　　3、如果不行，在桌面空白处点右键，在弹出的菜单中选择“属性”，然后依次单击“桌面/自定义桌面/web”选项，将“网页”栏中的“当前主页”以及“http//......”等所有各项前面的勾全部去掉（“http//……”为从Internet添加网页或图片的地址，一般不需要，可将它们全部删除），并将下面“锁定桌面项目”前面的勾也去掉，单击确定完成设置。

　　搞定。

　　如果还不行，继续往下处理：

　　4、如以上都不行而且 在文件夹里的 JPG格式图片无预览图而 BMP格式有预览图 那么可能是你关了图片预览功能导致桌面图标的不透明 解决办法也很简单开始 运行 输入regsvr32 shimgvw.dll回车

　　5、也可能是系统图标缓存出了问题。

　　在桌面空白处点右键，在弹出的菜单中选择“属性”，然后依次单击“外观/高级/图标”，把右边的值32改成其它值，点确定退出后再进入后设成32。

　　6、有时会出现上述设置也不能解决问题的情况，我们也可以通过新建一个用户的办法解决，但桌面图标、快速启动栏以及环境变量等等设置会恢复为默认状态，需要重新设置。

　　也可以试试以下软件：

　　1、桌面图标文字透明工具 1.0
软件详细信息
本软件只有6.5k大小，能自动将桌面图标文字变为透明，并且在刷新后仍能保持透明！开机可以自动运行，非常方便！
下载地址：http://www.onlinedown.net/soft/26487.htm

　　2、Z-桌面图标透明程序 1.0.2 V1.00
软件详细信息
当桌面设置了精美的图片背景时，图标文字的背景显得十分可恶。这是一个可以使桌面上图标文字背景透明的小工具。方便，绿色，小巧，不占内存，具有很好的效果，是同类软件无法达到的。
下载地址：http://www.onlinedown.net/soft/16556.htm

　　正当我们惊叹于泰勒的身手，并纳闷他为什么这么厉害的时候，导演又安排了一次攀岩来解疑。泰勒无保护打头阵，为哈洛固定保护绳。哈洛突然失手了……他的技术不太让人放心，后面果然又在紧要关头出了问题……

　　哈洛也有自己的优点，在接下来的一次雪山攀登中，哈洛半夜起来为其它队友的帐蓬加绑绳索，有两个队友谢绝了。结果第二天早上就发生了雪崩，其它队友的帐蓬都被雪覆盖了，泰勒和哈洛根据遗露在外的绳索救出了一顶帐蓬中的人，而那两个谢绝的队友则挂了。

　　两位队员的离去并没有让泰勒和哈洛生畏止步，他们随队前去攀登世界第二高峰——K2。

　　他们的队伍请了许多背夫。看到这个场景不禁让偶想起George Leigh Mallory（乔治·马洛里）和Andrew Irvine（安德鲁·欧文）当年前往攀登珠峰的情形，他们的队伍相必还要庞大。

　　途中发生了背夫罢工的事件，好像是因为佣金的原因，于是就有烧$的滑稽场面……

　　攀登时，他们没有协作（k2的商业化程度比珠峰低得多），仍然是泰勒采用“身体塞缝”式攀岩法打头开路。这段很好展现了的冰壁攀登技术。

　　虽然陆续发生了领队生病下撤和队友s亡的事件，但泰勒和哈洛坚持并登顶（无氧无协作？）

　　在下撤时，哈洛因脚无法踢出落点而坠落，把下方的泰勒也撞落下来。哈洛的一条脚跌断了。泰勒不离不弃，尤其是泰勒为哈洛打第二针肾上腺素时，徒手轻轻地为哈洛摘下滑雪镜、吸氧、打针、又轻轻地带上滑雪镜并擦掉浮雪……真是感人，最终双双获救……

附：世界第2高峰--乔戈里/K2登山探险史/k2攀登记录片

http://user.qzone.qq.com/123858018/blog/1217864763

One Friend - Dan Seals 
I Always thought you were the best,
I guess I always will
I Always felt that we were blessed,
And I feel that way still
Sometimes we took the hard road
But we always saw it through
If I'd had only one friend left
I'd want it to be you
Sometimes the world was on our side
Sometimes it wasn't fair
Sometimes it gave a helping hand
Sometimes we didn't care
Cause when we were together
It made the dream come true
If I had only one friend left
I'd want it to be you
Someone who understands me
And knows me inside out
And helps keep me together
And believes without a doubt
That I could move a mountain
Someone to tell it to
If I had only one friend left
I'd want it to be you
Cause when we were together
It made the dream come true
If I had only one friend left
I'd want it to be you
Someone who understands me
And knows me inside out
And helps keep me together
And believes without a doubt
That I could move a mountain
Someone to tell it to
If I had only one friend left
I'd want it to be you

　　一位网友从网上下载、安装了一个软件，被360卫士报为病毒。虽然360卫士已经做了清除，他仍不放心，让偶再通过QQ远程协助检查一下。

　　连接成功后，看到网友的桌面窗口都是倾斜的，无法操作。

　　偶还是第一次遇到这个问题，估计与网友电脑的显示设置有关，就问他的屏幕分辨率是多少？他说是：1366 x 768。让他改为1024 x 768后，显示正常了。

　　下载 pe_xscan 扫描 log 并分析，发现如下可疑项：

pe_xscan 09-06-21 by Purple Endurer

2009-12-26 20:44:35

Windows XP Service Pack 3(5.1.2600)

MSIE:6.0.2900.5512

管理员用户组

正常模式


C:\WINDOWS\system32\svchost.exe * 1528  　　|   2008-4-14 20:0:0

    C:\Program Files\Bonjour\mdnsNSP.dll　　|   2006-2-28 12:42:30 | Bonjour | 1,0,3,1 | Bonjour Namespace Provider | Copyright (C) 2003-2006 Apple Computer, Inc. | 1,0,3,1 | Apple Computer, Inc.| ? | mdnsNSP.dll | mdnsNSP.dll

C:\WINDOWS\system32\spoolsv.exe * 892   　　|   2008-4-14 20:0:0

    C:\Program Files\Bonjour\mdnsNSP.dll　　|   2006-2-28 12:42:30 | Bonjour | 1,0,3,1 | Bonjour Namespace Provider | Copyright (C) 2003-2006 Apple Computer, Inc. | 1,0,3,1 | Apple Computer, Inc.| ? | mdnsNSP.dll | mdnsNSP.dll

C:\Program Files\Bonjour\mDNSResponder.exe * 1012       　　|   2006-2-28 12:42:38 | Bonjour | 1,0,3,1 | Bonjour Service | Copyright (C) 2003-2006 Apple Computer, Inc. | 1,0,3,1 | Apple Computer, Inc.| ? | mDNSResponder.exe | mDNSResponder.exe

D:\Program Files\Tencent\QQ\Bin\QQ.exe * 3524   |   2009-7-30 20:15:30

    C:\Program Files\Bonjour\mdnsNSP.dll        |   2006-2-28 12:42:30 | Bonjour | 1,0,3,1 | Bonjour Namespace Provider | Copyright (C) 2003-2006 Apple Computer, Inc. | 1,0,3,1 | Apple Computer, Inc.| ? | mdnsNSP.dll | mdnsNSP.dll

O1 - Hosts: 127.0.0.1       localhost 127.0.0.1 activate.adobe.com


O2 - BHO HaoKanBar BrowserHelper - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} = C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll　　|   2009-11-24 16:36:54

O3 - IE工具栏: HaoKanBar Class - {43869BB3-22FD-4F15-9B46-238106BA2F4E} = C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll  　　|   2009-11-24 16:36:54


O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制


O23 - 服务: Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - "C:\Program Files\Bonjour\mDNSResponder.exe"        　　|   2006-2-28 12:42:38 | Bonjour | 1,0,3,1 | Bonjour Service | Copyright (C) 2003-2006 Apple Computer, Inc. | 1,0,3,1 | Apple Computer, Inc.| ? | mDNSResponder.exe | mDNSResponder.exe(自动)

　　Google了一下，发现 Bonjour 是 photoshop cs 附带的东东，好多网友说清除不了。在adobe的官方网站上提供了一个命令可以用来卸载它：

"C:\Program Files\Bonjour\mDNSResponder.exe" -remove

（详见：http://kb2.adobe.com/cps/400/kb400982.html）

　　O6项应该是360卫士弄出来的。

　　偶打开WinRAR作例行检查，打开相机记忆棒对应的L盘，不由吓出了一身冷汗，发现两个伪装成文件夹的EXE病毒文件，还多出一个名为recycled、类似回收站的文件夹，瑞星居然没有反应！

　　难道遇到了瑞星检测不出来的病毒？

　　在“资源管理器”中打开L盘，

进入 工具-》文件夹选项，取消“隐藏受保护的操作系统文件”和“隐藏已知文件类型的扩展名”前的钩，并选择“显示所有文件和文件夹”，应用，确定。

　　在DCIM.EXE上按右键，从快捷菜单中选择“使用瑞星杀毒”，瑞星才检测出Worm.Win32.Autorun.eyr！

　　用FileInfo提取病毒文件信息：

文件说明符 : L:\DCIM.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-11-23 10:47:43
修改时间 : 2009-11-23 10:47:48
大小 : 1400551 字节 1.343 MB
MD5 : d7435879a170e839eeeadb9587d68981
SHA1: 9A3727F6A25D14677840D6D578B4B6D1A1C3EC34
CRC32: b68180f7

　　上传到 http://www.virustotal.com扫描，结果如下：

这里发不完，完整内容在：http://blog.csdn.net/Purpleendurer/archive/2009/12/15/5014623.aspx

　　最吸引我们的节目——原生态依饭节表演于11月28日19:00在县体育馆内举行。

　　我们按时来到该馆，一进门，就见前方入口两侧各有一列盛装迎宾的MM，验票才能进入。

　　来之前偶就担心要门票，特别跟参加组委会的网友打听了，网友肯定地说是没有设置门票的。

　　正在纳闷，有一个青年志愿者上来引导，让我们没有票的观众绕道从侧门进~

　　馆内已经有许多观众了，正面的座位全是嘉宾席和记者席，我们一般观众只能坐两侧。两侧的座椅表面积有灰尘，只好掏纸巾擦干净～其实嘉宾席和记者席根本坐不满，表演开始后，大家都往正面的空座位挪~

　　随着一个悦耳的普通话女声在馆内响起，表演也拉开了帷幕。

　　首先向观众介绍依饭节的起源。依饭节是从纪念仫佬族英雄罗义和罗英父女俩的功德演化而来的。传说罗义、罗英父女俩能射狮驯牛，又会垦荒忡地，使仫佬族人丰衣足食。为了纪念他们的功绩，村村寨寨聚会敲锣、打鼓、唱歌。久而久之，就演化为还祖先愿的节日。

　　另一种说法是宋代天禧年间仫佬山乡遭外敌入侵，梁、吴带领乡民鏖战抗击，不幸英勇牺牲。宋徽宗于嘉熙四年特封梁、吴二人为官，并建龛堂，规定每逢亥、卯、末年奉请三元师祈神集福，进而发展演变为仫佬族感恩还愿、庆祝丰收、驱灾除难、保寿积福、人丁平安、五谷丰登、六畜兴旺的最隆重节日。

　　依饭节每逢丑、辰、未、戌（有的村是卯、未、亥）之年，于立冬后“吉日”举行，多数村是三年举行一次，有的是四年举行一次。节日的中心内容是举办由茅山派师公主持的“依饭道场”，欢庆地点选在公共祠堂，没有祠堂的在族首家举行。

　　道场仪式包括安坛（开坛、起坛）、请圣（请宴）、点牲、劝圣、唱神（唱圣、唱牛歌）、合兵（团兵）、送圣。

　　0、安坛（开坛、起坛）——又名“安坛起首”，供放茶叶、柑橘、甘蔗、芝麻、黄豆等十二素“清筵”。

　　1、请圣（请宴）——用鸡、鸭、猪头之牲焚香请神。由师傅逐一念唱36位神名，每请到一位神，师公换戴该神的面具，意即该神来到了人们中间，接受人们的祈愿，也给人们带来丰收的祝福。请的第一位神是“引光”，因为他在神国里负责联络众位神仙，因此请他先临坛，这样别的神仙才能找到地址赴宴。以后依次是鲁班(为众仙铺路搭桥)、家仙、四大王；三元、法主……最后一位是四山土娘。

　　2、点牲——即牲祭神灵。各家凑36只鸡鸭（无鸡可用鸭代替)，由师公宰杀一只，并悬空书写“超生度命”四字，然后于天井杀猪、宰鸡鸭。

　　3、劝圣——请神灵享受供品。供：猪肉、猪头、尾、内脏及鸡、鸭、酒等12荤熟“浊筵”。

　　4、唱神（唱圣、唱牛歌）——颂唱每位神灵身世、业绩，请他们驱灾除难、保寿积福、人丁平安、五谷丰登、六畜兴旺。由一戴引光面具的师公边唱边跳。唱到某神，即由戴某神面具的师公上场表演。唱、演形式根据各神的身世和业迹特点而定。他们行罡走步中的翻爬滚打和对阵厮杀的表演都很精彩有趣。在场的人配合“嗬啊”衬音帮腔助威，气氛更加热烈非凡。

　　5、合兵（团兵）——师公咬破红公鸡鸡冠，将血滴于红薯、芋头牛身、糯米谷穗及酒碗。参加祭祀者每人喝鸡血酒一口，这样可以受到神灵保护。为“依饭”法事活动的高潮。

　　6、送圣——师公送走36位神灵后，对梁九有特殊送别仪式，并具有与民同乐色彩。这时的唱词必须用仫佬话唱。

　　传说梁九是维护仫佬人利益的清官，极受民众爱戴。届时，一师公戴面具扮梁九，扛一缚公鸡的竹竿，持酒壶，提一吹胀的猪尿泡边走边唱或与乡民对答。内容上至天文地理，下至生产、生活琐事。答不对者，梁九则以猪尿泡击其头，念道：公的尿泡敲你头！引得哄堂大笑，情趣盎然。之后，梁九与祭祀会首互敬四杯酒，迅疾推倒坐椅，燃放鞭炮，表示所有灾瘴瘟疫全随猪尿泡被赶走。这时，乡民们欣喜若狂地分到红薯、芋头牛及糯米谷穗回家供于神龛，以保人畜平安，五谷丰登。

　　至此，祭祀仪式全部结束。

　　每一个仪式开时前都会有语音介绍，并有人持牌环场展示。

　　不过师公们唱的内容估计很多人像我们一样听不懂，于是观众逐渐减少。

　　偶在近距离拍PP时，听到身后一个带着嘉宾牌子的女士说这些表演者们非常敬业，相当投入，虽然听不懂他们唱的词，但词的内容应该是很有价值的。

　　个人感觉还是用投影仪把师公们的唱词播放出来，这样效果要好一些。

　　看到第四部分唱神时，偶用的相机电池图标已经闪烁报警，其他同伴建议去广场看看。

　　广场有民歌表演，观众也多，偶们远远的听了一会，找地方休息去了~

　　相机没电了，转播到此结束，谢谢欣赏~

非物质文化遗产：仫佬族依饭节

http://user.qzone.qq.com/52178216/blog/1260081462

　　在台上拍了一些PP后，偶们到舞台后面西边的罗城仫佬族自治县仫佬族博物馆参观。

　　该馆位于民族文化广场北面，建成于2004年11月，建筑面积2698平方米，现有馆藏文物1760件，其中革命文物192件，民族民俗文物878件，历史文物690件，分设民族荣誉展厅、革命文物展厅、历史文物展厅、民族民俗文物展厅、民族原始生产工具生活用具展厅、仫佬族依饭节场景展厅和仫佬族农家居住场景展厅，再现了仫佬族悠久的历史文化和独特的民族风情，跨度年代久远，文物品种齐全，内容丰富多彩。2007年1月，该馆被列为“自治区爱国主义教育基地”。同年5月，又被列为“国家重点博物馆名录”，是目前河池市唯一获此殊荣的县级博物馆。

　　在博物馆门口与参加演出的演员合影。

　　今天可以免费参观。

　　中央是罗城的三维地图，四周展出的是服饰、装饰、古籍、生活用品等。

　　我们在这与当地的朋友ch、y会合。ch、y两个当地人居然也是第一次参观。

仫佬族的服饰。

　　现实生活中好像只有这些六七十岁的老人家还穿这种衣服，也许以后只能在这里才能看到了。

　　官轿和婚轿~

　　仫佬族人民的生活习俗展示。可惜图中小孩雕像的手指断了几支~半露天走廓里光线很足，根本不需要开灯，但那些灯却被手多的人打开了，我们只好一路走一路关~

　　好大的石碾~

　　再现依饭节道场仪式的场面，两侧各有一排观众的（PP在相册里）。图中左边第二个高举双手的人应该是敲鼓的，不过他的器具好像还没准备好~ 

　　锣声清脆响亮~

　　博物馆右边的文化馆里展出的是书画、摄影、奇石、根艺、盆景~

　　参观完这里，我们的肚子唱起了空城计，于是去参加美食节。

　　美食节场地在解放路东面，台上正在表演魔术。逛了一圈，没看到什么特别的美食，还是以烧烤为主~

　　由于平时用的Fuji相机被别人借去了，所以这次用的是SONY相机。SONY相机电池的蓄电能力比Fuji的差远了，才拍了一个下午，四格电池就只剩两格了，还是留给晚上的重头戏——原生态依饭节表演罢~

（更多PP在相册里）

　　作为罗城人，对于依饭节，偶也只闻其名，不知其实。听到罗城要举办仫佬族依饭文化节，自然不愿错过。在车友Q群里一吼，车友lyzm恰有同好，于是搭乘他的宝马同去一睹为快。

　　仫佬族是岭南土著民族，依饭节是仫佬族特有的一个具有浓郁民族特色的节日。

　　关于依饭节的起源，流传着很多传说，其中范围最广的是纪念白马娘娘：据说古时候，仫佬山乡群兽为害，特别是兽王──神狮，凶猛异常，伤人畜，毁庄稼。正当仫佬人陷入困境时，来了一位白马姑娘，她力大无比，射死了神狮，解救了万民，并从狮口中夺回谷种送给人们，又用芋头、红薯做成黄牛、水牛为人们犁田耕地，教仫佬后生习武灭兽。从此，仫佬山乡风调雨顺，五谷丰登。为纪念白马姑娘的功绩，仫佬族人把她奉为白马娘娘，每逢闰年立冬日，人们便以“峒”（仫佬族以血缘聚居，同姓为一家族，族内分“峒”）为单位，集资轮流主持聚会，相沿成习，于是形成了依饭节。

　　所以在开节仪式中，首先进行的是祭祖仪式，向白马娘娘和列位先祖圣贤敬奉香烛，祭拜白马娘娘和先祖圣贤，以感谢白马娘娘、列祖圣贤的护佑先祖之恩以及创业养育之恩。

　　在简短的祭拜仪式之后，是盛大的仫佬族风情歌舞表演。整场演出分为“创世古韵”、“依饭神韵”、“走坡情韵”、“仫佬风韵”四个章节，上演草龙舞、抢粽粑、仫佬竹球、台阁顶马、猫狮表演等民风民俗项目，展现了原汁原味的仫佬族文化，特别是依饭文化，展示仫佬族的独特风情为主题。其中的歌舞表演《依饭摊面舞》，就再现了先祖们开山造田，驱赶猛兽，丈地造屋的场面，让仫佬子孙世世代代铭记祖先创世、创业和养育的恩德。

　　视觉效果相当不错（相关信息和PP可参见附1），不过偶们到得晚了，又没记者证，摄影证，只能远观，小DC拍不出效果。等到表演结束才上台细赏。

希望每个人的人生都能如此五彩缤纷~

偶也祈福

endurer 原创
2009-11-19 第1版

一位朋友的电脑最近开机速度很慢，而且有QQ提示框说“您的QQ号已经被系统选取为【10周年庆典】的二等奖获得者”

很多程序运行不了，请偶帮忙检修。

用 pe_xscan 扫描 log 并分析，发现如下可疑项（进程模块部分有省略）：

pe_xscan 09-06-21 by Purple Endurer

2009-11-10 19:49:16

Windows XP Service Pack 3(5.1.2600)

MSIE:6.0.2900.5512

管理员用户组

正常模式

[System Process] * 0 

　　 C:\WINDOWS\system32\kb110172630.dll | 2009-11-10 17:26:30 

　　 C:\WINDOWS\system32\kb210172648.dll | 2009-11-10 17:26:48 

　　 C:\WINDOWS\system32\kb510172916.dll | 2009-11-10 17:29:17 

　　 C:\WINDOWS\Fonts\kb28192213.dll | 2009-11-8 19:22:13 

　　 C:\WINDOWS\Fonts\kb48192251.dll | 2009-11-8 19:22:51 

　　 C:\WINDOWS\Fonts\kb2923529.dll | 2009-11-9 2:35:29 

　　 C:\WINDOWS\Fonts\kb410172748.dll | 2009-11-10 17:27:48 

　　 C:\WINDOWS\Fonts\kb5923711.dll | 2009-11-9 2:37:11 

　　 C:\Program Files\Internet Explorer\sdk2.dll | 2009-11-10 11:59:20 

　　 C:\Documents and Settings\Administrator\Application Data\Spy009.dll | 2009-11-9 2:41:52 

　　 C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf | 2009-11-1 23:44:52 

　　 C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf | 2009-11-10 11:17:32 

　　 C:\WINDOWS\system32\A2CbFrBy28J6zdXNZgqCtJ6Ae.inf | 2009-10-29 2:13:52 

　　 C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur | 2009-10-29 2:14:2 

　　 C:\WINDOWS\Downloaded Program Files\uBwdaS5QeRv5fUyk7etsUNqVEjT.cur | 2009-10-29 2:14:20 

　　 C:\WINDOWS\Tasks\Wfayv6njQnCsg.inf | 2009-10-30 2:2:52 

　　 C:\WINDOWS\Tasks\4H5HJTHFZkxrCpehBpx4TmR.inf | 2009-10-29 1:47:10 

　　 C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-10-26 18:43:28 

　　 C:\WINDOWS\system32\WQVBYhAJ6ADw5qzCY8gv84KTH.inf | 2009-10-26 18:41:40 

　　 C:\WINDOWS\system32\qzp3jTZCSfSh.dll | 2009-10-26 18:41:2 

　　 C:\WINDOWS\Downloaded Program Files\rJaeKv7CcbwSzhQbDu.cur | 2009-10-26 18:41:22 

　　 C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf | 2009-10-26 18:40:14 

　　 C:\WINDOWS\fonts\A97CRaCB.fon | 2009-10-26 18:39:42 

　　 C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf | 2009-10-26 18:38:54 

　　 C:\WINDOWS\system32\08223B03.dll | 2009-10-26 18:38:20 

　　 C:\WINDOWS\Downloaded Program Files\gxrSG8sdA4hAbGNQXnr9JGFu6nZ.cur | 2009-10-26 18:37:28 

　　 C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf | 2009-10-26 18:37:12 

　　 C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf | 2009-10-26 18:36:56 

　　 C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll | 2009-10-26 18:36:4 

　　 C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur | 2009-10-26 18:36:22 

　　 C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur | 2009-10-26 18:35:20 

　　 C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf | 2009-10-26 18:35:34 

　　 C:\WINDOWS\system32\BhfwdJchYBNmD25PSCxza.inf | 2009-10-26 18:35:6 

　　 C:\WINDOWS\Downloaded Program Files\NnjrQW5EUm9zePgHXM2eB44E.cur | 2009-10-26 18:34:36 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-26 18:34:52 

　　 C:\WINDOWS\Tasks\zUzgU8WWpYntt6NfUWT.inf | 2009-11-10 11:30:6 

C:\WINDOWS\System32\winlogon.exe* 540 | 2007-6-1 0:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.5512 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.5512 (xpsp.080413-2113) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE 

　　 C:\WINDOWS\system32\kb11011166.dll | 2009-11-10 11:16:6 

　　 C:\WINDOWS\system32\kb210111617.dll | 2009-11-10 11:16:18 

　　 C:\WINDOWS\system32\kb510111719.dll | 2009-11-10 11:17:20 

　　 C:\WINDOWS\Tasks\zUzgU8WWpYntt6NfUWT.inf | 2009-11-10 11:30:6 

　　 C:\WINDOWS\Fonts\kb28192213.dll | 2009-11-8 19:22:13 

　　 C:\WINDOWS\Fonts\kb48192251.dll | 2009-11-8 19:22:51 

　　 C:\WINDOWS\Fonts\kb2923529.dll | 2009-11-9 2:35:29 

　　 C:\WINDOWS\Fonts\kb410111652.dll | 2009-11-10 11:16:52 

　　 C:\WINDOWS\Fonts\kb5923711.dll | 2009-11-9 2:37:11 

　　 C:\WINDOWS\system32\winlib .dll

　　 C:\WINDOWS\system32\COMRes.dll | 2009-11-6 20:56:2


　　 C:\WINDOWS\system32\syslib .dll 

　　 C:\WINDOWS\system32\kb110172630.dll | 2009-11-10 17:26:30 

　　 C:\WINDOWS\system32\kb210172648.dll | 2009-11-10 17:26:48 

　　 C:\WINDOWS\system32\kb510172916.dll | 2009-11-10 17:29:17 

　　 C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf | 2009-10-26 18:34:22 

　　 C:\WINDOWS\Downloaded Program Files\NnjrQW5EUm9zePgHXM2eB44E.cur | 2009-10-26 18:34:36 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-26 18:34:52 

　　 C:\WINDOWS\system32\BhfwdJchYBNmD25PSCxza.inf | 2009-10-26 18:35:6 

　　 C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur | 2009-10-26 18:35:20 

　　 C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf | 2009-10-26 18:35:34 

　　 C:\WINDOWS\system32\SCEVFJRCmaB7.dll | 2009-10-26 18:35:50 

　　 C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll | 2009-10-26 18:36:4 

　　 C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur | 2009-10-26 18:36:22 

　　 C:\WINDOWS\system32\ndxq9awMc.dll | 2009-10-26 18:36:36 

　　 C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf | 2009-10-26 18:36:56 

　　 C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf | 2009-10-26 18:37:12 

　　 C:\WINDOWS\Downloaded Program Files\gxrSG8sdA4hAbGNQXnr9JGFu6nZ.cur | 2009-10-26 18:37:28 

　　 C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur | 2009-10-26 18:37:42 

　　 C:\WINDOWS\system32\08223B03.dll | 2009-10-26 18:38:20 

　　 C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf | 2009-10-26 18:38:38 

　　 C:\WINDOWS\system32\bWxJAeWKDxgRfhkaWEfA33C36nr.inf | 2009-10-26 18:38:54 

　　 C:\WINDOWS\system32\122B901E.dll | 2009-10-26 18:39:10 

　　 C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf | 2009-10-26 18:39:26 

　　 C:\WINDOWS\fonts\A97CRaCB.fon | 2009-10-26 18:39:42 

　　 C:\WINDOWS\fonts\SD78dgC7hD2sktQHyAu.fon | 2009-10-26 18:39:58 

　　 C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf | 2009-10-26 18:40:14 

　　 C:\WINDOWS\system32\t9hdtMrwMeQcvYV3CMvhtNZpC.inf | 2009-10-26 18:40:30 

　　 C:\WINDOWS\system32\qzp3jTZCSfSh.dll | 2009-10-26 18:41:2 

　　 C:\WINDOWS\Downloaded Program Files\rJaeKv7CcbwSzhQbDu.cur | 2009-10-26 18:41:22 

　　 C:\WINDOWS\system32\WQVBYhAJ6ADw5qzCY8gv84KTH.inf | 2009-10-26 18:41:40 

　　 C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-10-26 18:43:28 

　　 C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf | 2009-10-29 2:13:48 

　　 C:\WINDOWS\Tasks\4H5HJTHFZkxrCpehBpx4TmR.inf | 2009-10-29 1:47:10 

　　 C:\WINDOWS\system32\A2CbFrBy28J6zdXNZgqCtJ6Ae.inf | 2009-10-29 2:13:52 

　　 C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur | 2009-10-29 2:14:2 

　　 C:\WINDOWS\Downloaded Program Files\uBwdaS5QeRv5fUyk7etsUNqVEjT.cur | 2009-10-29 2:14:20 

　　 C:\WINDOWS\Tasks\Wfayv6njQnCsg.inf | 2009-10-30 2:2:52 

　　 C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf | 2009-10-30 10:32:12 

　　 C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf | 2009-11-2 1:10:32 

　　 C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf | 2009-11-1 23:44:52 

　　 C:\WINDOWS\system32\jY8sGUnWqbZb3x2BPhY.dll | 2009-11-2 1:11:54 

　　 C:\Documents and Settings\Administrator\Application Data\Spy009.dll | 2009-11-9 2:41:52 

　　 C:\Program Files\Internet Explorer\sdk2.dll | 2009-11-10 11:59:20 

　　 C:\WINDOWS\system32\pEcFwPj48y6DADf87r.inf | 2009-11-7 11:6:12 

　　 C:\WINDOWS\Fonts\kb410172748.dll | 2009-11-10 17:27:48 

　　 C:\WINDOWS\system32\RXNK8eR3xW8KTCWBCGTbqm.inf | 2009-11-10 11:17:32 

　　 C:\WINDOWS\fonts\AN2Epfv2VzeHreV.fon | 2009-11-10 11:32:42 

　　 C:\WINDOWS\system32\CDuAUVkGy9.dll | 2009-11-10 11:33:4 

C:\WINDOWS\System32\services.exe* 648 | 2009-2-9 19:21:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.5755 | Services and Controller app | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.5755 (xpsp_sp3_gdr.090206-1234) | Microsoft Corporation| ? | services.exe | services.exe 

　　 C:\WINDOWS\system32\kb11011166.dll | 2009-11-10 11:16:6 

　　 C:\WINDOWS\system32\kb210111617.dll | 2009-11-10 11:16:18 

　　 C:\WINDOWS\system32\kb510111719.dll | 2009-11-10 11:17:20 

　　 C:\WINDOWS\Tasks\zUzgU8WWpYntt6NfUWT.inf | 2009-11-10 11:30:6 

　　 C:\WINDOWS\Fonts\kb28192213.dll | 2009-11-8 19:22:13 

　　 C:\WINDOWS\Fonts\kb48192251.dll | 2009-11-8 19:22:51 

　　 C:\WINDOWS\Fonts\kb2923529.dll | 2009-11-9 2:35:29 

　　 C:\WINDOWS\Fonts\kb410111652.dll | 2009-11-10 11:16:52 

　　 C:\WINDOWS\Fonts\kb5923711.dll | 2009-11-9 2:37:11 

　　 C:\WINDOWS\system32\kb110172630.dll | 2009-11-10 17:26:30 

　　 C:\WINDOWS\system32\kb210172648.dll | 2009-11-10 17:26:48 

　　 C:\WINDOWS\system32\kb510172916.dll | 2009-11-10 17:29:17 

(这里发不完,完整的信息在:

http://blog.csdn.net/Purpleendurer/archive/2009/11/19/4838184.aspx)

（续1）

从log中可以发现下列系统文件未能通过数字签名的验证，很可能被病毒替换了：

C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\mshtml.dll
C:\WINDOWS\system32\sfc_os.dll
C:\WINDOWS\system32\wininet.dll
C:\WINDOWS\system32\DNSAPI.dll
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\stobject.dll
C:\WINDOWS\System32\drivers\afd.sys
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\gdiplus.dll
C:\Program Files\Messenger\msgscr.dll

另外，在完整的pe_xscan log中还发现了一个比较少见的系统服务项：

O23 - 服务: hardlock (hardlock) - C:\WINDOWS\system32\drivers\hardlock.sys  | 2008-12-17 14:52:55 | Hardlock Device Driver for Windows NT | 3.25 | Hardlock Device Driver for Windows NT | Copyright 1994-2003 Aladdin Knowledge Systems. | 3.25 | Aladdin Knowledge Systems| ? | hardlock.sys | hardlock.sys(自动)

 
Google了一下，hardlock.sys属于aladdin数字版权加密锁工具的驱动。很多大型软件都采取了版权保护措施~

分析完毕，开始修复。

到 http://purpleendurer.ys168.com 下载 下载 bat_do 和 FileInfo，然后断开网线。

打开任务管理器，终止下列进程树：

C:\WINDOWS\explorer.exe
C:\WINDOWS\extext74296t.exe
C:\WINDOWS\extext74406t.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\scvhost.exe

这样WinRAR可以正常运行了，我们把bat_do 和 FileInfo解压出来。

用 FileInfo 提取log中红色标记的文件信息。

将上列系统文件改名，我们用U盘从其它电脑中复制以上文件到相应目录下。

用 FileInfo 提取log中红色标记的文件信息，用 bat_do 将 log中除上列系统文件外的其它红色标记的文件 打包备份并延时删除。

在WinRAR中删除C:\autorun.inf。

打开注册表编辑器，删除病毒启动项。

重启电脑，瑞星监控小伞图标显示为红伞，修复安装之。

接上网线，下载 DrWeb CureIt!全面查杀病毒，发现很多EXE和DLL被感染，修复之！

重启电脑后，小伞图标显示为绿伞，但手动升级时出错，提示网络有故障。

检查瑞星程序文件夹，发现名为wsock32.dll的文件，用bat_do延时删除。重启电脑，瑞星可以正常升级了，全面查杀病毒~

附部分恶意文件信息：

文件说明符 : C:\WINDOWS\explorer.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 6.00.2900.5512 (xpsp.080413-2105)
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 6.00.2900.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : explorer
源文件名 : EXPLORER.EXE
创建时间 : 2008-4-14 20:0:0
修改时间 : 2008-4-14 20:0:0
大小 : 3440660 字节 3.288 MB
MD5 : a8bf54829afcc4fca6bf9cd16f88d106
SHA1: 7AAE0703E72EB8CA165CA8870FB6F84DD7314946
CRC32: 18ea0319

文件说明符 : C:\WINDOWS\system32\userinit.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 8:56:38
修改时间 : 2004-8-17 12:0:0
大小 : 23552 字节 23.0 KB
MD5 : e93566a2d7e84951cc2a6c28dffc2303
SHA1: 7896EBE6117572B050DFD99E72EA300179CC76E4
CRC32: fe0994ed

文件说明符 : C:\WINDOWS\MKMKrnl.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 18:47:37
修改时间 : 2009-10-12 18:47:37
大小 : 10240 字节 10.0 KB
MD5 : 3e24626303f7745ef4b3009892c55622
SHA1: AB9D118116CFCEC039B143B95BF0AA8A5BF88489
CRC32: 86ccf000

卡巴斯基报为Trojan.Win32.Agent.anoe，瑞星报为Trojan.Win32.Undef.soe

文件说明符 : C:\WINDOWS\MPKrnl.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 18:48:2
修改时间 : 2009-10-12 18:48:2
大小 : 20480 字节 20.0 KB
MD5 : 1e64d0fefa081984fcaf4fd63ab34b4c
SHA1: AC1D299DEE15E12806A41C3874124C6E568F3AE1
CRC32: a316cad6

卡巴斯基报为Trojan-Downloader.Win32.Agent.ansh，瑞星报为Worm.Win32.Agent.zv

文件说明符 : C:\WINDOWS\MSVB50CHS.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : WmiLib
公司名称 : Matrix
内部名称 : WMILib
源文件名 : WMILib.dll
创建时间 : 2009-10-12 18:48:2
修改时间 : 2009-10-12 18:48:2
大小 : 24625 字节 24.49 KB
MD5 : de39bdf26687a771c8fa21728350b41a
SHA1: 02223DA4D42000F4C6DC9A71B25991B14BA3DD72
CRC32: cd733685

卡巴斯基报为Trojan.Win32.VB.gqe，瑞星报为Trojan.Win32.Generic.51E8FA99

文件说明符 : C:\WINDOWS\system32\dsound.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.3.2600.5512 (xpsp.080413-0845)
说明 : DirectSound
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.3.2600.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : DirectSound
源文件名 : dsound.dll
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-11-3 22:42:50
大小 : 368160 字节 359.544 KB
MD5 : 463801de6efc4374b619732ffea6ef9f
SHA1: D047549F70B6F40E529B2699965CA32099A09518
CRC32: 98d1e786

瑞星报为Win32.Loader.by

文件说明符 : C:\WINDOWS\system32\comres.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-11-8 9:16:11
大小 : 11780 字节 11.516 KB
MD5 : c8adffde155e967cdc3740a8c347b3d6
SHA1: F7895B84EC06435735853133F59734B58E8AD258
CRC32: c12668bd

瑞星报为Trojan.PSW.Win32.DNFOnLine.ec

文件说明符 : C:\WINDOWS\system32\Processa.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:59:9
修改时间 : 2009-10-16 10:18:3
大小 : 11264 字节 11.0 KB
MD5 : 73181359706f938ded7049c6850558d2
SHA1: 429BEEB1B3BEEF3981A236F00DD237C0D8FAC839
CRC32: 3a95ba1c

文件说明符 : C:\WINDOWS\system32\substdals.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-17 12:57:26
修改时间 : 2009-10-17 12:57:26
大小 : 45056 字节 44.0 KB
MD5 : 9df09ed22996e6764e23b07117c393ee
SHA1: 84FF4791A72779895D6AC60EFBAD8CC14A5370A3
CRC32: 9bca2e8c

文件说明符 : C:\WINDOWS\system32\SoundxVolumns.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 18:54:10
修改时间 : 2009-10-10 18:54:5
大小 : 23433 字节 22.905 KB
MD5 : 27fa93ade9eb532ca70de7cf818d3a6c
SHA1: 16A9F880B6E55734BD98A82EE04BC7E5602A97E3
CRC32: 5c6e60f4

文件说明符 : C:\WINDOWS\system32\scvhost.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 17:40:20
修改时间 : 2009-10-10 20:9:30
大小 : 30568 字节 29.872 KB
MD5 : 221f69cd310b20e0a148257dfafed2f5
SHA1: 737E3323C979AC82345CFB5DF7FAF115B8AADF87
CRC32: 8e8f8c5d

文件说明符 : C:\WINDOWS\system32\NXD.exe
属性 : ASH-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 21.0.0.17
说明 : RavCopy Module
版权 : Copyright(C) 2008-2009 Beijing Rising Information Technology Co., Ltd. All Rights Reserved.
产品版本 : 21.00
产品名称 : Rising AntiVirus 2009
公司名称 : Beijing Rising Information Technology Co., Ltd.
内部名称 : Beijing Rising Information Technology Co., Ltd.
源文件名 : ravcopy.exe
创建时间 : 2009-10-10 20:14:19
修改时间 : 2009-10-10 20:14:19
大小 : 25600 字节 25.0 KB
MD5 : 5d9fcffe4b2e12d6038b22dea7b0547c
SHA1: 2089F293D1CB6EF00B1AD2408B258038DF533666
CRC32: 08432242

卡巴斯基报为Trojan.Win32.Scar.vwe，瑞星报为Hack.DDoSer.Win32.Agent.lb

文件说明符 : C:\WINDOWS\system32\SoundxVolumns.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : BrowserHelper
公司名称 : Lenovo (Beijing) Limited
内部名称 : BrowserHelper
源文件名 : BrowserHelper.dll
创建时间 : 2009-10-10 18:54:7
修改时间 : 2009-10-12 8:57:36
大小 : 45056 字节 44.0 KB
MD5 : 6ec5b0bda10924446997e8b3666ccddb
SHA1: 86581584BCA838C1011D6D374304C4E407161CAC
CRC32: ccb30ebe

文件说明符 : C:\WINDOWS\system32\stobject.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.5512 (xpsp.080413-2105)
说明 : Systray shell service object
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.5512
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : stobject
源文件名 : stobject.dll
创建时间 : 2008-4-14 20:0:0
修改时间 : 2009-10-12 18:45:23
大小 : 121344 字节 118.512 KB
MD5 : 2a9bb882b4b26a76887fbe0307c84e30
SHA1: AF4249DA2C5138AC3F3B19FDE9C9A294D2D877F9
CRC32: 8940ab51

卡巴斯基报为Trojan.Win32.Patched.gz

文件说明符 : C:\WINDOWS\system32\qt-dx3.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 18:47:55
修改时间 : 2009-10-12 18:47:55
大小 : 17920 字节 17.512 KB
MD5 : afe31b1b7f6e6734a44be7700023e34b
SHA1: 19B9A9AF75BC34ECE6DF12754E137CD87FC198DD
CRC32: 345e68ea

卡巴斯基报为Trojan.Win32.Agent.cxzp

文件说明符 : D:\cconter.exe
属性 : --H-
数字签名:123.cn
PE文件:是
语言 : 中文(中国)
文件版本 : 4.05.0005
产品版本 : 4.05.0005
产品名称 : dfdf
公司名称 : dfdf
内部名称 : Mode8
源文件名 : Mode8.exe
创建时间 : 2009-10-10 20:14:19
修改时间 : 2009-10-10 20:14:20
大小 : 65268 字节 63.756 KB
MD5 : db0ddad2e2ad869ea58911c7f198c38a
SHA1: BEFC571ACB99778CD432E44F6D01F631600BDCC9
CRC32: 6ea070a6

卡巴斯基报为Trojan-PSW.Win32.QQFish.cv，瑞星报为Trojan.PSW.Win32.QQPass.ess

　　走马观花参观了西江苗族博物馆，我们沿街道继续向西走去。路边的也东寨门引起了我们的注意。

　　据说这是千户苗寨中最古老的一个自然寨。我们拾阶而上，好好瞧瞧。

寨间小路也用小鹅卵石砌铺~吊脚楼多为三层，基座以青石、卵石垒砌，一层圈养牲畜，二层住人，三层为粮仓。

　　两只可爱的小猫，我们这些陌生人的到来丝毫没有影响它们，真和谐~

　　睡到自然醒，然后坐在屋檐下，沐浴着暖洋洋的阳光悠闲地进食，人生几何？PP中挂有两个灯笼的地方就是农民画家李玉福的“枫香阁”的大门~

　　没弄明白地面上的那个图案有什么含义，不过做这样的地面不仅需要艺术地规划，也需要耐心地实施罢？

　　由于要观看11:30的表演，路过“鼓藏头”家、木楼人家、农民博物馆而无暇进入参观~

　　还好没错过 山寨鸡中的战斗鸡！

　　苗族歌舞表演，每天有2场，上午11：30和下午5：30各一场，每场表演时间是40分钟左右，免费观看的。

　　观看表演的人真多，坐无虚席。

　　如果想喝到漂亮苗家女敬的酒那就要早点去占正面的座位，一般敬酒都是敬正前方。

　　这个节目可能是这次表演中最精彩的节目了，这个节目一结束，不少旅游团就撤退了。

　　最后一个节目结束后，邀请游客进场共舞，老外最积极~

　　明年有13年一度的鼓藏节，相信游客会更多，所以寨中不少地方在扩建客栈~

　　来去匆匆，未能深入，但这层层叠叠、高低错落的苗寨深处，一定隐藏着许多的传奇和神秘，还有那只可意会不可言传的美……

所以，余秋雨游览西江后，只说了一句：用美丽回答一切！

回来的路上，看到好大一片日冕，五彩斑斓，同样是一种无法描述的美~

附注1：贵州省雷山县西江千户苗寨（专业文献，探讨历史、建筑、民俗等内容）
http://www.gzbs.cn/zt/gz50/meili/2009/0331/16863.html

附注2：苗族鼓藏节
http://www.qdnwh.gov.cn/news.asp?id=406

　　8:15起床，先来到楼中央的堂屋，这儿有个落地窗，是围有木栏的长廊，并设有长凳，苗语称“阶息”，主要用于乘凉、观景和休息，苗家姑娘多在此挑花刺绣，人称长廊木凳为“美人靠”，是苗族建筑的一大特色。

这儿确实是观景的好地方，可以欣赏晨曦中的苗寨：

　　可惜起得有点晚了，没有看到炊烟。那就去扫寨。

　　西江无江，只有一条名叫白水河的小河穿寨而过，将西江苗寨一分为二。在风雨桥头品尝当地的小吃。

　　这是内有馅、外有粉的糯米巴，集汤圆和马打滚的风味于一体。

　　来碗薯粉……这儿的豆腐、磨芋味道也不错~

沿江路边有民族服装出租，MM们租一套来留影应该不错~

这条路面上的图案颇具匠心，

　　用大小相称的鹅孵石在街道上铺出这样的螺旋图案，从街的一头延伸到另一头，真不简单。

　　千户苗寨芦笙坪小广场上有不少山寨鸡在溜达。

　　不过最引人注意的还是广场中央这个题名为《民族意愿》的木头雕塑，是当地苗族同胞李显红以历史传说为根据雕成的。

　　大约在2400年以前，苗族三个祖公引虎飞、莫虎飞和条虎飞，由他处迁移到这儿，他们引导民众砍伐大树建造房屋，填沼泽，造良田。西江苗寨的人民，在祖先奠下的良好基础上，艰苦地与大自然和野兽进行搏斗，把块石累累的山区化为层层高叠的梯田；把林海茫茫的荒野变为花卉争艳的美好家园，成了苗族人民的聚居区。到了民国15年，和汉族来往较密，互相通婚，汉族文化就此传入了西江。根据《林荫记》中记录的西江苗族子连父名的世系谱，从蚩尤到1732年间共有284代，说明生活在西江的苗族是蚩尤的直系后裔。清乾隆年间，清政府为了管理苗疆，对苗族人民实行编户定籍，强行取消了苗族子连父名的传统，用苗名的谐音来定汉姓。

　　这个耸天而立的木雕，已被视为典型性的地方标志了。

　　2008年9月28日正式开馆的“西江苗族博物馆”就在广场西北方。

　　博物馆主楼是用长廊连接起来的六栋单体两层建筑物组合而成，设有两个综合馆和苗族历史文化馆、苗族服饰银饰馆、苗族节目馆、苗族婚俗馆、苗族信仰祭祀馆、苗族农耕器具馆、苗族名人馆、苗族乐器馆、苗族体育馆、苗医苗药馆等10个分馆。

　　博物馆中的苗族建筑技艺厅。西江苗族吊脚楼源于上古居民的南方干栏式建筑，是中华上古居民建筑的活化石。这种建筑已有数千年的历史，距今7000年的浙江余姚河姆渡遗址的干栏式建筑已达到了较高的水平。苗族最早的文明发源于长江中下游一带，西江苗族就是传承了这种古老的建筑风格。2005年，西江千户苗寨吊脚楼被列入首批国家级非物质文化遗产名录。

　　这个馆要有进寨门票才能入内参观。工作人员会在门票作记号，一张门票只能进入一次。

（更多PP在相册里）

　　西江苗族的历史可以追溯到公元前559年的蚩尤部落。据说西江苗族是蚩尤第三个儿子的后裔，迁徙西江之前已经形成了自己的苗族文化体系，到西江后，又因交通不便，一直是自己管理自己，因而苗族文化得到很好的保存和发展，是研究苗族历史、文化的“活化石”，被中外人类学家和民俗学者认为是保存苗族“原始生态”文化比较完整的地方，誉为“苗族民族文化艺术馆”。1982年被列为省级旅游区，1987年又列为东线民族风情旅游区，1992年被列为省级历史文化名城镇保护单位；2004年被列为全省首期村镇保护和建设项目5个重点民族村镇之一；2005年西江千户苗寨吊脚楼被列入首批国家级非物质文化遗产名录。还被《国家地理系列》编委会评为“中国最美的100风情小镇”。

　　出发之前Google出了上面的介绍，看来确实是个好地方！

　　厌倦了城市的嘈杂和拥挤，厌倦了生活的虚假和繁缛，厌倦了工作的紧张和忙碌的我们，带着一种返璞归真、回归大自然的欲望相约前往这个宁静美丽、民族原生态的世外桃源！

　　大家都是第一次去，只好按照网友们的路书加上车载GPS导航探索前进：过南丹上贵新高速公路、凯麻高速，三小时左右到达凯里东，下高速右转，到雷山县三棵树镇。

进镇后直行五公里，可见右面山崖上刻有醒目的“西江千户苗寨”指路标，沿着盘山公路绕行15公里即到。途中有许多人开摩托车成群结队地进去。

　　寨门外的停车场上几乎停满了车，其中有许多是旅游大巴。看来游客很多。

　　这儿昼夜温差比较大。白天穿一件厚一点的单衣就行了，天黑了，气温也降了下来，偶加了一件抓绒衣，不过22点过后还是觉得有点冷。

　　寨门左边一排房子挺有特色的，后来才知道是WC。
 
　　在停车场有一个人自称是当地人，可以带我们进去，每人40元，不过没有门票。我们还是买了60元门票进入。后来我们进博物馆参观时这张门票就派上用场了。当时正好有个河南来的旅游团，他们的团体票是40元/人。

　　进门大牌子上的《简介》这样写道： 

　　西江千户苗寨位于贵州省雷山县雷公山国家森林公园之内，属西江镇。西江是苗语“dlib jangi”的译音，原称“仙祥”，清雍正七年建“新疆六厅”后改称“鸡讲”，民国五年（1616年）易名为西江，距县城36公里，距州府凯里35公里。现有1285户5120人，世居侯、李、唐、黄、陈、杨等姓氏，其中苗族人口占99.5%，故有“千户苗寨”之称，是我国历史文化名镇之一，是世界第一大苗寨。寨内分为平寨、乌嘎、干羊、东引也通、羊排、也东、水寨、也蒋等8个自然寨，寨寨相连、户户紧靠而成。

　　我们穿过风雨桥，到半山腰上的“西江月”客栈投宿。

　　双人房70，三人房100。房间很小，两张床，中间一张小茶几，还算干净，就是木地板上有泥巴鞋印~

　　安顿好了，到阳台上凭栏远望，19点30分，苗寨灯光齐刷刷地同时开放，当地人叫“政府开灯”。只见漫山遍野灯火辉煌、恍若满天五彩星斗……不知是不是沾了我们住的这个客栈的好名字的光，月亮此时恰到好处地在对面山头上冒出来，同行的色驴当然不会放过了~

　　过完瘾后下山找吃的，在风雨桥上又忍不住色了一肥~

　　肚子早就唱空城计了，于是就近去了一个大排档，不想进了黑店。我们要了一锅酸汤两条鱼，味道一般，汤中的辣椒红得不正常，一碟牛肉，一碟磨芋糕，还有几碟蔬菜，酒色不分家，又要了两斤米酒~

　　吃喝之间，旁边的餐桌换了几拨人，不过每拔人中的MM都很养眼

　　吃到23点多，一结帐，220元！其中两条鱼64元，两斤米酒30元。鱼是点菜前讲好的，32元/斤，但两条巴掌大的鱼怎么会有2斤？酒是没讲到价，但也不应该这么贵罢！于是叫boss过来谈，他说两条鱼，每条鱼近1斤，所以……偶们就问，多重算“近1斤”？boss无语~再讲米酒，他说是什么特酿！又被偶们批了一通，我们那的土茅台才1块钱1斤呢。最后boss收了200元。不爽~只能以喝到了接近贵州茅台水平的酒自慰了，第2天扫寨时，在路边商店看到一块牌子：特酿酒 4元/斤！

　　穿过风雨桥，漫山遍野的灯火一起熄灭，原来已经过了12点！好在我们随身带了几个手电筒~

　　回到“西江月”，在楼梯口就听到了打呼噜的声音，估计全楼都听得到。卫生间虽然小，但还算干净，不管是冷水还是热水，打开水龙头，刚出来的水居然是绿色的，过了几秒钟才正常~

　　尽管楼上不时有人走动，发出的声响比较大，不过偶还是很快睡着了~

（更多PP在相册里）

endurer 原创

2009-11-10 第1版

　　昨天一位同事的电脑中了病毒，瑞星监控小伞图标消失；点击开始菜单中的程序项无法运行程序；无法运行WinRAR，提示文件被另外一个程序使用；无法关机……请偶帮忙检修~

　　使用 pe_xscan 扫描log 并分析，发现如下可疑项（进程模块部分有省略）：

pe_xscan 09-10-13 by Purple Endurer

2009-11-9 10:3:40

Windows XP Service Pack 3(5.1.2600)

MSIE:6.0.2900.5512

管理员用户组

正常模式

[System Process] * 0 

　　 C:\WINDOWS\Fonts\kb12922049.dll | 2009-10-29 22:0:49 

　　 C:\WINDOWS\Fonts\kb1118573.dll | 2009-11-1 18:57:3 

　　 C:\WINDOWS\Fonts\kb13224250.dll | 2009-11-3 22:42:50 

　　 C:\WINDOWS\system32\WINMSCABC.IME | 2009-10-17 12:57:26  |  | 1, 0, 0, 1  | 英文(美国)  | 版权所有(C) 1999  | 1, 0, 0, 1  |  |  |  | 英文(美国) 

　　 C:\WINDOWS\system32\substdals.dll | 2009-10-17 12:57:26 

　　 C:\WINDOWS\system32\wininet.dll | 2008-6-12 10:0:51  | Microsoft(R) Windows(R) Operating System  | 6.00.2900.5583  | Internet Extensions for Win32  | (C) Microsoft Corporation. All rights reserved.  | 6.00.2900.5583 (xpsp_sp3_gdr.080417-1430)  | Microsoft Corporation | ?  | wininet.dll  | wininet.dll 

　　 C:\WINDOWS\Downloaded Program Files\RUw6jGCJJGg4B6RDY83.cur | 2009-11-8 9:16:5 

　　 C:\WINDOWS\system32\EHcM5UkuFS6pQv5sm.inf | 2009-11-8 9:15:59 

　　 C:\WINDOWS\system32\JMq7bpeR4Xa8eV5ftCB.inf | 2009-11-3 10:25:1 

　　 C:\WINDOWS\Tasks\4H5HJTHFZkxrCpehBpx4TmR.inf | 2009-10-30 20:19:58 

　　 C:\WINDOWS\system32\A2CbFrBy28J6zdXNZgqCtJ6Ae.inf | 2009-10-30 20:19:51 

　　 C:\WINDOWS\Downloaded Program Files\uBwdaS5QeRv5fUyk7etsUNqVEjT.cur | 2009-10-30 20:19:10 

　　 C:\WINDOWS\Tasks\Wfayv6njQnCsg.inf | 2009-10-30 20:18:3 

　　 C:\WINDOWS\system32\WQVBYhAJ6ADw5qzCY8gv84KTH.inf | 2009-10-26 8:27:52 

　　 C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf | 2009-10-26 8:26:26 

　　 C:\WINDOWS\system32\rb37sCqvGmszGJ3aQYB5qRczx.inf | 2009-10-26 8:25:48 

　　 C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf | 2009-10-17 12:57:32 

　　 C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf | 2009-10-14 16:20:30 

　　 C:\WINDOWS\system32\pwd4Xpm8KYzkcbqcaKT.inf | 2009-10-14 8:18:22 

　　 C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf | 2009-10-12 18:50:42 

　　 C:\WINDOWS\Downloaded Program Files\rJaeKv7CcbwSzhQbDu.cur | 2009-10-12 18:49:58 

　　 C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf | 2009-10-12 18:48:57 

　　 C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf | 2009-10-12 18:48:32 

　　 C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf | 2009-10-12 18:49:46 

　　 C:\WINDOWS\system32\08223B03.dll | 2009-10-10 19:0:52 

　　 C:\WINDOWS\system32\qzp3jTZCSfSh.dll | 2009-10-12 18:50:17 

　　 C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf | 2009-10-12 8:59:17 

　　 C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf | 2009-10-12 18:50:5 

　　 C:\WINDOWS\fonts\A97CRaCB.fon | 2009-10-12 18:50:55 

　　 C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf | 2009-10-12 18:50:36 

　　 C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur | 2009-10-12 18:48:38 

　　 C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur | 2009-10-12 18:48:14 

　　 C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf | 2009-10-12 18:48:45 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-10 18:59:17 

　　 C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-10-12 18:50:30 

C:\WINDOWS\system32\winlogon.exe* 764  | 2008-4-14 20:0:0  | Microsoft(R) Windows(R) Operating System  | 5.1.2600.5512  | Windows NT Logon Application  | (C) Microsoft Corporation. All rights reserved.  | 5.1.2600.5512 (xpsp.080413-2113)  | Microsoft Corporation | ?  | winlogon  | WINLOGON.EXE 

　　 C:\WINDOWS\Fonts\kb12922049.dll | 2009-10-29 22:0:49 

　　 C:\WINDOWS\Fonts\kb1118573.dll | 2009-11-1 18:57:3 

　　 C:\WINDOWS\Fonts\kb13224250.dll | 2009-11-3 22:42:50 

　　 C:\WINDOWS\system32\sfc_os.dll | 2008-6-12 10:1:11  | Microsoft(R) Windows(R) Operating System  | 5.1.2600.5512  | Windows 文件保护  | (C) Microsoft Corporation. All rights reserved.  | 5.1.2600.5512 (xpsp.080413-2111)  | Microsoft Corporation | ?  | sfc.dll  | sfc.dll 

　　 C:\WINDOWS\system32\WINMSCABC.IME | 2009-10-17 12:57:26  |  | 1, 0, 0, 1  | 英文(美国)  | 版权所有(C) 1999  | 1, 0, 0, 1  |  |  |  | 英文(美国) 

　　 C:\WINDOWS\system32\substdals.dll | 2009-10-17 12:57:26 

　　 C:\WINDOWS\system32\wininet.dll | 2008-6-12 10:0:51  | Microsoft(R) Windows(R) Operating System  | 6.00.2900.5583  | Internet Extensions for Win32  | (C) Microsoft Corporation. All rights reserved.  | 6.00.2900.5583 (xpsp_sp3_gdr.080417-1430)  | Microsoft Corporation | ?  | wininet.dll  | wininet.dll 

　　 C:\WINDOWS\system32\COMRes.dll | 2009-11-8 9:16:11 

　　 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\gdiplus.dll | 2009-10-20 16:1:6  | Microsoft? Windows? Operating System  | 5.2.6001.22319  | Microsoft GDI+  | ? Microsoft Corporation. All rights reserved.  | 5.2.6001.22319 (vistasp1_ldr.081126-1506)  | Microsoft Corporation | ?  | gdiplus  | gdiplus 

　　 C:\WINDOWS\system32\kb1891611.dll | 2009-11-8 9:16:11 

C:\WINDOWS\system32\lsass.exe* 844  | 2008-4-14 20:0:0  | Microsoft? Windows? Operating System  | 5.1.2600.5512  | LSA Shell (Export Version)  | ? Microsoft Corporation. All rights reserved.  | 5.1.2600.5512 (xpsp.080413-2113)  | Microsoft Corporation | ?  | lsass.exe  | lsass.exe 

　　 C:\WINDOWS\system32\DNSAPI.dll | 2008-6-21 1:46:0  | Microsoft? Windows? Operating System  | 5.1.2600.5625  | DNS Client API DLL  | ? Microsoft Corporation. All rights reserved.  | 5.1.2600.5625 (xpsp_sp3_gdr.080620-1249)  | Microsoft Corporation | ?  | dnsapi  | dnsapi 

　　 C:\WINDOWS\system32\mswsock.dll | 2008-6-21 1:46:0  | Microsoft(R) Windows(R) Operating System  | 5.1.2600.5625  | Microsoft Windows Sockets 2.0 Service Provider  | (C) Microsoft Corporation. All rights reserved.  | 5.1.2600.5625 (xpsp_sp3_gdr.080620-1249)  | Microsoft Corporation | ?  | mswsock.dll  | mswsock.dll 

　　 C:\WINDOWS\system32\qt-dx3.dll | 2009-10-12 18:47:55 

　　 C:\WINDOWS\system32\sfc_os.dll | 2008-6-12 10:1:11  | Microsoft(R) Windows(R) Operating System  | 5.1.2600.5512  | Windows 文件保护  | (C) Microsoft Corporation. All rights reserved.  | 5.1.2600.5512 (xpsp.080413-2111)  | Microsoft Corporation | ?  | sfc.dll  | sfc.dll 

C:\WINDOWS\system32\svchost.exe* 1152  | 2008-4-14 20:0:0  | Microsoft? Windows? Operating System  | 5.1.2600.5512  | Generic Host Process for Win32 Services  | ? Microsoft Corporation. All rights reserved.  | 5.1.2600.5512 (xpsp.080413-2111)  | Microsoft Corporation | ?  | svchost.exe  | svchost.exe 

　　 C:\WINDOWS\system32\mswsock.dll | 2008-6-21 1:46:0  | Microsoft(R) Windows(R) Operating System  | 5.1.2600.5625  | Microsoft Windows Sockets 2.0 Service Provider  | (C) Microsoft Corporation. All rights reserved.  | 5.1.2600.5625 (xpsp_sp3_gdr.080620-1249)  | Microsoft Corporation | ?  | mswsock.dll  | mswsock.dll 

　　 C:\WINDOWS\system32\qt-dx3.dll | 2009-10-12 18:47:55 

　　 C:\WINDOWS\system32\sfc_os.dll | 2008-6-12 10:1:11  | Microsoft(R) Windows(R) Operating System  | 5.1.2600.5512  | Windows 文件保护  | (C) Microsoft Corporation. All rights reserved.  | 5.1.2600.5512 (xpsp.080413-2111)  | Microsoft Corporation | ?  | sfc.dll  | sfc.dll 

　　 C:\WINDOWS\system32\DNSAPI.dll | 2008-6-21 1:46:0  | Microsoft? Windows? Operating System  | 5.1.2600.5625  | DNS Client API DLL  | ? Microsoft Corporation. All rights reserved.  | 5.1.2600.5625 (xpsp_sp3_gdr.080620-1249)  | Microsoft Corporation | ?  | dnsapi  | dnsapi 

　　 C:\WINDOWS\system32\COMRes.dll | 2009-11-8 9:16:11 

　　 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.6001.22319_x-ww_f0b4c2df\gdiplus.dll | 2009-10-20 16:1:6  | Microsoft? Windows? Operating System  | 5.2.6001.22319  | Microsoft GDI+  | ? Microsoft Corporation. All rights reserved.  | 5.2.6001.22319 (vistasp1_ldr.081126-1506)  | Microsoft Corporation | ?  | gdiplus  | gdiplus 

　　 C:\WINDOWS\system32\kb1891611.dll | 2009-11-8 9:16:11 

 C:\WINDOWS\system32\userinit.exe* 1976  | 2009-10-12 8:56:38 

(完整的日志在：http://blog.csdn.net/Purpleendurer/archive/2009/11/10/4793127.aspx)

　　从pe_xscan 的 log 上看，病毒程序下载安装了许多恶意程序，并且其中一些放在IE及Tencent程序文件夹中，鱼目混珠。如：

 
文件说明符 : C:\Program Files\Internet Explorer\Top.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:20
修改时间 : 2009-9-22 16:26:22
大小 : 66141 字节 64.605 KB
MD5 : bf779e4ff8c6cd87355bd125aa4e5d49
SHA1: 8DF4753C33E9378607553651284C30F1907AF256
CRC32: f6b508f3

 

卡巴斯基 报为：Trojan-PSW.Win32.QQPass.msc，瑞星 报为：Trojan.PSW.Win32.QQPass.eri
 
文件说明符 : C:\PROGRA~1\INTERN~1\PLUGINS\IEPLUG.Dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:36:19
修改时间 : 2009-10-12 10:43:32
大小 : 42728 字节 41.744 KB
MD5 : 81f3c5dfec67cd967775f81430dc8281
SHA1: B4CE5AAE49F17F7BBAED9C12E4D5264FE4E4BBBE
CRC32: ce2d21c8

 

文件说明符 : C:\PROGRA~1\COMMON~1\Tencent\QQPlug\domain.dll
属性 : --H-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : BhoPlugin Module
版权 : Copyright 2008
产品版本 : 1, 0, 0, 1
产品名称 : BhoPlugin Module
内部名称 : BhoPlugin
源文件名 : BhoPlugin.DLL
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 14848 字节 14.512 KB
MD5 : fcd1780462b4e4b09d95a2664a14ead9
SHA1: 0CE5CDBA42AC9FDA85C2261188CF1C186190DC44
CRC32: 3a1976e8
 
文件说明符 : C:\PROGRA~1\COMMON~1\Tencent\QQPlug\QQdoctor.exe
属性 : --H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 3584 字节 3.512 KB
MD5 : c3c97d3f2c903fcaf58e6d3084d14855
SHA1: FC090E91B3C18A02E27D2D274A28757BCBCC2F61
CRC32: a4b2a2ce

卡巴斯基 报为：Trojan-PSW.Win32.QQPass.omq，瑞星 报为：Trojan.Win32.Inject.fip

此外，病毒还替换了相当多的系统文件，如：

文件说明符 : C:\WINDOWS\system32\comres.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-16 21:14:8
修改时间 : 2009-10-10 22:56:52
大小 : 22016 字节 21.512 KB
MD5 : bf8705bcc12a0c36d9b472736d199943
SHA1: C44D45AD0FCA7D365226522BEF4D49BCD535CFB3
CRC32: c02168b4

卡巴斯基 报为：Trojan-GameThief.Win32.Magania.cegr，瑞星 报为：Trojan.PSW.Win32.DNFOnLine.bl

　　由于病毒中包括了viking，它不仅感染了C盘的EXE文件，还感染了其它盘的EXE文件。只要一运行其它盘中被感染的EXE文件，病毒就会重新发作。

　　手工修复相对来说麻烦一些：

　　用Win PE 来或 MAX DOS 系统来启动电脑，删除 log中红色标记的文件（可以写一个bat来完成），并用autoruns之类的软件删除病毒添加的启动项目；

　　对于被病毒替换的系统文件，有Windows SP3光盘的话，可以用sfc命令来修复，否则要手工从dllcache或其它电脑中复制；

　　用杀毒软件作一次彻底的扫描，清除其它盘中的病毒。DrWeb CureIt!对付感染型的病毒相当不错，绿色无须安装。

　　如果是一键还原C盘或重装系统，完成后也要用杀毒软件作一次彻底的扫描。

　　询问同事得知，因为嫌卡巴斯基2010影响了电脑响应速度，把卡巴斯基关了。然后电脑就出现了这些症状。明显是中标了。

　　用最新版本的 pe_xscan 扫描log并分析，发现如下可疑项(进程模块部分有省略)：

pe_xscan 09-10-13 by Purple Endurer

2009-10-14 13:2:55 

Windows XP Service Pack 3(5.1.2600) 

MSIE:6.0.2900.5512

管理员用户组

正常模式

[System Process] * 0 

　　 C:\Program Files\Common Files\system\abbhelp.dll | 2009-10-11 13:0:2 | | 1.0.0.0 | | | 2.0.0.0 | 梦想工作室 | | | 

　　 C:\Program Files\Internet Explorer\Top.dll | 2009-9-22 16:26:22 

　　 C:\WINDOWS\system32\winldr.dll | 2009-10-11 12:59:2 | | 4.5.2.0 | | | 4.5.2.0 | | ? | | 

　　 C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf | 2009-10-11 13:0:2 

　　 C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf | 2009-10-11 12:59:48 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-11 12:59:34 

　　 C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf | 2009-10-10 18:4:18 

　　 C:\WINDOWS\Downloaded Program Files\q2wbJhgRG3deKh9h2eUq.cur | 2009-10-12 7:56:58 

　　 C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur | 2009-10-10 20:38:42 

　　 C:\WINDOWS\Downloaded Program Files\Es4sCmxdCqnrzaQ6GZrj.cur | 2009-10-10 20:38:10 

　　 C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur | 2009-10-10 20:38:18 

　　 C:\WINDOWS\fonts\CtZ8uc499k.fon | 2009-9-22 16:24:22 

　　 C:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf | 2009-9-22 16:23:2 

　　 C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf | 2009-9-22 16:22:22 

　　 C:\WINDOWS\Downloaded Program Files\6YYnDBbzHzrrmenHmv.cur | 2009-9-22 16:19:54 

　　 C:\WINDOWS\fonts\A97CRaCB.fon | 2009-9-22 16:21:54 

　　 C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-9-22 16:21:26 

　　 C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf | 2009-9-22 16:19:40 

　　 C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur | 2009-9-22 16:19:14 

　　 C:\WINDOWS\system32\R8ZdwYqnBwz3JS4TseHvTJ.inf | 2009-9-22 16:19:0 

　　 C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf | 2009-9-22 16:18:34 

　　 C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf | 2009-9-22 16:18:48 

　　 C:\WINDOWS\Tasks\K6xzVUK4MRGJBPE76F.inf | 2009-9-22 16:18:20 

　　 C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf | 2009-9-22 16:19:28 

C:\WINDOWS\System32\csrss.exe* 940 | 2007-6-1 0:0:0 

　　 C:\Program Files\Common Files\system\abbhelp.dll | 2009-10-11 13:0:2 | | 1.0.0.0 | | | 2.0.0.0 | 梦想工作室 | | | 

C:\WINDOWS\System32\winlogon.exe* 964 | 2007-6-1 0:0:0 

　　 C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf | 2009-9-22 16:19:28 

　　 C:\WINDOWS\system32\klogon.dll |$Kaspersky Lab | 2009-9-3 4:14:36 

　　 C:\Program Files\Common Files\system\abbhelp.dll | 2009-10-11 13:0:2 | | 1.0.0.0 | | | 2.0.0.0 | 梦想工作室 | | | 

C:\WINDOWS\System32\services.exe* 1012 | 2007-6-1 0:0:0 

　　 C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf | 2009-9-22 16:19:28 

　　 C:\Program Files\Common Files\system\abbhelp.dll | 2009-10-11 13:0:2 | | 1.0.0.0 | | | 2.0.0.0 | 梦想工作室 | | | 

C:\WINDOWS\System32\lsass.exe* 1024 | 2007-6-1 0:0:0 

　　 C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf | 2009-9-22 16:19:28 

　　 C:\Program Files\Common Files\system\abbhelp.dll | 2009-10-11 13:0:2 | | 1.0.0.0 | | | 2.0.0.0 | 梦想工作室 | | | 

C:\WINDOWS\explorer.exe* 1952 | 2007-6-1 0:0:0 

　　 C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf | 2009-9-22 16:19:28 

　　 C:\WINDOWS\Tasks\7xa6vJPUxshvgQhTZH.inf | 2009-9-22 16:18:6 

　　 C:\WINDOWS\Tasks\K6xzVUK4MRGJBPE76F.inf | 2009-9-22 16:18:20 

　　 C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf | 2009-9-22 16:18:34 

　　 C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf | 2009-9-22 16:18:48 

　　 C:\WINDOWS\system32\R8ZdwYqnBwz3JS4TseHvTJ.inf | 2009-9-22 16:19:0 

　　 C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur | 2009-9-22 16:19:14 

　　 C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf | 2009-9-22 16:19:40 

　　 C:\WINDOWS\Downloaded Program Files\6YYnDBbzHzrrmenHmv.cur | 2009-9-22 16:19:54 

　　 C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-9-22 16:21:26 

　　 C:\WINDOWS\fonts\A97CRaCB.fon | 2009-9-22 16:21:54 

　　 C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf | 2009-9-22 16:22:22 

　　 C:\WINDOWS\system32\tfVH2v7ehQBEprqtNm.inf | 2009-9-22 16:22:36 

　　 C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf | 2009-9-22 16:22:50 

　　 C:\WINDOWS\system32\B4yNKrEEhEerKFeeA4.inf | 2009-9-22 16:23:2 

　　 C:\WINDOWS\fonts\CtZ8uc499k.fon | 2009-9-22 16:24:22 

　　 C:\WINDOWS\Tasks\eHcEcHCEmwjD8CyZDd.inf | 2009-9-22 16:24:36 

　　 C:\Program Files\Internet Explorer\Top.dll | 2009-9-22 16:26:22 

　　 C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Expert.Dll | 2009-10-12 10:43:34 

　　 C:\WINDOWS\Downloaded Program Files\Es4sCmxdCqnrzaQ6GZrj.cur | 2009-10-10 20:38:10 

　　 C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur | 2009-10-10 20:38:18 

　　 C:\WINDOWS\Downloaded Program Files\rJaeKv7CcbwSzhQbDu.cur | 2009-10-10 20:38:30 

　　 C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur | 2009-10-10 20:38:42 

　　 C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur | 2009-10-10 20:39:20 

　　 C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf | 2009-10-10 20:39:24 

　　 C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf | 2009-10-10 22:56:52 

　　 C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf | 2009-10-12 7:54:26 

　　 C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf | 2009-10-12 7:55:10 

　　 C:\WINDOWS\Downloaded Program Files\q2wbJhgRG3deKh9h2eUq.cur | 2009-10-12 7:56:58 

　　 C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf | 2009-10-12 7:58:6 

　　 C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf | 2009-10-10 18:4:18 

　　 C:\WINDOWS\system32\winldr.dll | 2009-10-11 12:59:2 | | 4.5.2.0 | | | 4.5.2.0 | | ? | | 

　　 C:\WINDOWS\system32\COMRes.dll | 2009-10-11 13:0:0 

　　 C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf | 2009-10-11 12:59:40 

　　 C:\WINDOWS\system32\122B901E.dll | 2009-10-11 12:59:36 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-11 12:59:34 

　　 C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf | 2009-10-11 12:59:48 

　　 C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf | 2009-10-11 12:59:22 

　　 C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf | 2009-10-11 12:59:24 

　　 C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf | 2009-10-11 13:0:2 

　　 C:\Program Files\Common Files\system\abbhelp.dll | 2009-10-11 13:0:2 | | 1.0.0.0 | | | 2.0.0.0 | 梦想工作室 | | | 

　　 C:\PROGRA~1\INTERN~1\PLUGINS\IEPLUG.Dll | 2009-10-12 10:43:32 

(完整内容在: http://blog.csdn.net/Purpleendurer/archive/2009/10/15/4677353.aspx)

　　今天上午，一位同事的电脑出现登录Windows后自动注销的故障，用 WinPE 检查发现c:\windows\system32\userinit.exe丢失，从其它电脑中复制了一个userinit.exe过来，电脑恢复正常。

　　下午这台电脑又出现了问题：QQ可以正常登录，但打不开网页。

　　检查IE加载项，发现下面pe_xscan扫描log中的O2项，将它们禁用后可以打开网页了，但主页被恶意修改为：hxxp://www.9348.cn/?205471

　　使用电脑中原有的 pe_xscan 扫描log 并分析，发现如下可疑项（进程模块部分有省略）：

pe_xscan 09-06-21 by Purple Endurer 

2009-10-12 15:50:21

Windows XP Service Pack 3(5.1.2600) 

MSIE:6.0.2900.5512

管理员用户组 

正常模式

[System Process]* 0 

　　 C:\WINDOWS\system32\08223B03.dll | 2009-10-10 19:0:52 

　　 C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf | 2009-10-12 8:59:17 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-10 18:59:17 

C:\WINDOWS\system32\svchost.exe* 1008 | 2008-4-14 20:0:0 | Microsoft? Windows? Operating System | 5.1.2600.5512 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.5512 (xpsp.080413-2111) | Microsoft Corporation| ? | svchost.exe | svchost.exe 

　　 C:\WINDOWS\system32\COMRes.dll | 2009-10-10 18:59:9 

C:\WINDOWS\Temp\Explorer.exe * 1868 | 2009-10-10 20:13:6 

C:\WINDOWS\system32\scvhost.exe * 548 | 2009-10-10 20:9:30 

C:\WINDOWS\system32\scvhost.exe * 560 | 2009-10-10 20:9:30 

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\JIUZ7HI5\xx1[1].exe * 652 | 2009-10-12 15:18:12 | dfdf | 4.05.0005| ?| ? | 4.05.0005 | dfdf| ? | Mode8 | Mode8.exe 

F2 - REG: system.ini: UserInit =  ＜C:\WINDOWS\system32\userinit.exe,＞ | 2009-10-12 8:56:38 

O2 - BHO - {0010BB0C-2F85-46C3-B06A-0F87BB08646C} =  .dll

O2 - BHO BrowserHelper.CBrowserHelper - {3AC4BF88-8BEB-4B87-AFBC-D090AB40B812} = C:\WINDOWS\system32\SoundxVolumns.dll | 2009-10-12 8:57:36 | BrowserHelper | 1.00| ?| ? | 1.00 | Lenovo (Beijing) Limited| ? | BrowserHelper | BrowserHelper.dll 

O4 - HKLM\..\run: [360Soft] C:\WINDOWS\system32\scvhost.exe

O4 - HKLM\..\run: [RsTray] C:\WINDOWS\system32\scvhost.exe

 C:\autorun.inf

 /----- 

 [AutoRun] 

open= recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe

shell\open= 打开 (&O) 

shell\open\Command= recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe

shell\explore= 资源管理器 (&X) 

shell\explore\Command= recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe

 -----/ 

O23 - 服务: AsyncMac (RAS Asynchronous Media Driver) -  system32\DRIVERS\asyncmac.sys | 2009-10-12 15:15:44(手动) 

O23 - 服务: NXD (NXD Service) - C:\WINDOWS\system32\NXD.exe (自动) 

O23 - 服务: sbgsz (sbgsz) - C:\WINDOWS\system32\drivers\sphgp.sys (引导) 

O23 - 服务: pcidump (pcidump) - C:\WINDOWS\system32\drivers\pcidump.sys (引导) 

O24 - ShlExecHook: [2] - {93DA1E7D-7C46-4F90-8674-EC90511FCA72} = C:\WINDOWS\system32\CDuAUVkGy9.dll

O24 - ShlExecHook: [2] - {1719B301-B494-4185-9379-242461F9CF02} = C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf

O24 - ShlExecHook: [7] - {CD478099-014D-4B3A-A4BB-B518F1019BC7} = C:\WINDOWS\system32\SCEVFJRCmaB7.dll

O24 - ShlExecHook: [B] - {827E2FB4-1047-43DE-848D-E12BB0C97AAB} = C:\WINDOWS\Tasks\SbrmpxjdCrgRAFhz4gHh.inf

O24 - ShlExecHook: [F] - {2EF0D734-21FD-4225-A1A2-BCD296182AAF} = C:\WINDOWS\system32\2EF0D734.dll

O24 - ShlExecHook: [8] - {AA5D8D4C-4925-4E47-98F9-A79E465C81C8} = C:\WINDOWS\Downloaded Program Files\Es4sCmxdCqnrzaQ6GZrj.cur

O24 - ShlExecHook: [3] - {51716C09-6B08-4CCF-B526-718E912C0573} = C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-10-10 18:59:17 

O24 - ShlExecHook: [E] - {6049BC02-7EDA-4C41-B4AB-D5398607C39E} = C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf

O24 - ShlExecHook: [9] - {84639C2D-CD75-4081-B515-329AFCECBF19} = C:\WINDOWS\Downloaded Program Files\SjRjQgREDp3P8B4rEEg.cur

O24 - ShlExecHook: [6] - {526EB425-7F56-4773-8D70-B8E45AA8E2B6} = C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur

O24 - ShlExecHook: [D] - {DD8A574E-DFEC-4B02-9465-64692491072D} = C:\WINDOWS\Downloaded Program Files\dScKUgK2NYg8Uar5xyA9.cur

O24 - ShlExecHook: [7] - {87DE8A1A-96C5-4420-B222-EF998F697CE7} = C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.inf

O24 - ShlExecHook: [9] - {C07B914B-C164-42D2-9838-1422C3F70D99} = C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf

O24 - ShlExecHook: [5] - {F181F067-7046-4DCB-993F-200990736305} = C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur

O24 - ShlExecHook: [1] - {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} = C:\WINDOWS\fonts\A97CRaCB.fon

O24 - ShlExecHook: [C] - {B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C} = C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf

O24 - ShlExecHook: [8] - {B59F0A61-EF3E-4A2B-9E3A-4A84EDDF2308} = C:\WINDOWS\Downloaded Program Files\AnXnubyMnv58c9vaECWX.cur

O24 - ShlExecHook: [}] - {8A6A5B34-D995-4C5D-9338-B5E264B4A87} = C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf

O24 - ShlExecHook: [7] - {74DA2FEC-F68F-4DC7-9A45-9174AC044427} = C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf

O24 - ShlExecHook: [1] - {11FDB6D4-166A-47BF-A0F8-A09DABA75FC1} = C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf

O24 - ShlExecHook: [9] - {7938BD2F-0143-4C46-991C-71069712D9D9} = C:\WINDOWS\system32\DMvJFcDsGe5Kccsmc6gZFjB.inf | 2009-10-10 19:0:30 

O24 - ShlExecHook: [3] - {9C20D654-5AF8-4DB7-A125-1A17D7065C73} = C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf | 2009-10-12 8:59:17 

O24 - ShlExecHook: [B] - {4F5EEDE5-1687-49D2-8A17-FF0B454FB37B} = C:\WINDOWS\system32\qzp3jTZCSfSh.dll

O24 - ShlExecHook: [0] - {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} = C:\WINDOWS\system32\ndxq9awMc.dll

O24 - ShlExecHook: [E] - {08223B03-1B38-4A33-A83A-A4D3CC1D6E4E} = C:\WINDOWS\system32\08223B03.dll | 2009-10-10 19:0:52 

O24 - ShlExecHook: [C] - {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} = C:\WINDOWS\system32\122B901E.dll

O24 - ShlExecHook: [A] - {36AC68E6-0C26-4D39-B98E-54B49DAB6BAA} = C:\WINDOWS\system32\dhDhwS7fFW.dll

O24 - ShlExecHook: [5] - {B9D0F4D7-C809-4C27-9CB4-63201DFB3D05} = C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf

O24 - ShlExecHook: [D] - {594EFEFB-4932-421C-9C83-A6BEB868E52D} = C:\WINDOWS\fonts\acCjngH97w.fon

O24 - ShlExecHook: [E] - {3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE} = C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf

O24 - ShlExecHook: [2] - {335A9BAE-19FA-42F2-AFD2-20C3275EF392} = C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf | 2009-10-10 20:12:20 

O29 - HKCU-Start Page =  hxxp://www.9348.cn/?205471

O29 - HKLM-Start Page =  hxxp://www.9348.cn/?205471 

　　病毒替换了不少系统文件，而电脑中的dllcache文件夹是空的，于是运行sfc /scannow 检修，出现错误信息：指定的错误代码是 0x000006ba [RPC 服务器不可用]。

打开注册表编辑器regedit，在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

的右边找到 SfcDisable，把值改为0,重新启动可以就OK了。

　　当系统发现异常系统文件，提示插入SP3的光盘时，手头上却没有这种光盘……

附部分病毒样本信息：

文件说明符 : C:\recycle.{645FF040-5081-101B-9F08-00AA002F954E}\kav32.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:3:24
修改时间 : 2009-10-10 20:9:30
大小 : 30568 字节 29.872 KB
MD5 : 221f69cd310b20e0a148257dfafed2f5
SHA1: 737E3323C979AC82345CFB5DF7FAF115B8AADF87
CRC32: 8e8f8c5d

Kaspersky 报为 Trojan-Downloader.Win32.Geral.cqg，瑞星 报为 Worm.Win32.Autorun.smy

C:\WINDOWS\system32\scvhost.exe 同 kav32.exe

文件说明符 : c:\documents and settings\administrator\local settings\temporary internet files\content.ie5\jiuz7hi5\xx1[1].exe
属性 : A---
数字签名:123.cn
PE文件:是
语言 : 中文(中国)
文件版本 : 4.05.0005
产品版本 : 4.05.0005
产品名称 : dfdf
公司名称 : dfdf
内部名称 : Mode8
源文件名 : Mode8.exe
创建时间 : 2009-10-12 15:16:56
修改时间 : 2009-10-12 15:18:12
大小 : 65260 字节 63.748 KB
MD5 : 558df6494d2571f9154b54f01759f0ab
SHA1: D98D336B64C632AB92A371B00BDE9E63FA8846EE
CRC32: 54f36926

Kaspersky 报为 Trojan-PSW.Win32.QQFish.cw

文件说明符 : c:\windows\system32\userinit.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 8:56:38
修改时间 : 2004-8-17 12:0:0
大小 : 23552 字节 23.0 KB
MD5 : e93566a2d7e84951cc2a6c28dffc2303
SHA1: 7896EBE6117572B050DFD99E72EA300179CC76E4
CRC32: fe0994ed

Kaspersky 报为 Trojan-Downloader.Win32.Geral.aot，瑞星 报为 Trojan.DL.Win32.Mnless.eds

文件说明符 : C:\WINDOWS\system32\drivers\AsyncMac.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-12 15:15:43
修改时间 : 2009-10-12 15:15:44
大小 : 4686 字节 4.590 KB
MD5 : cade95effeafaa8352555407470fa546
SHA1: 6699DCD5BC993CE733F6158861EBBC7C53899808
CRC32: b05a9370

Kaspersky 报为 Trojan-Downloader.Win32.Geral.ayn，瑞星 报为 Packer.Win32.MimiSys.a

更多信息:

http://blog.csdn.net/Purpleendurer/archive/2009/10/12/4660553.aspx

　　右击网友电脑桌面上的IE图标，发现弹出的是网址快捷方式的快捷菜单，看来那个软件把桌面原有的IE图标换成了指向的hxxp://www.hao923.com.cn/的快捷方式，开始菜单中的Internet Explorer菜单项也被换了，全部删除。

　　快速启动项中的IE快捷方式也被篡改为：

"C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.hao923.com.cn/

　　改回为：

"C:\Program Files\Internet Explorer\iexplore.exe"
 
　　用电脑中的HijackThis扫描log，发现如下可疑项：

O4 - HKLM\..\Run: [0CE164] C:\WINDOWS\system32\827828\0CE164.EXE
O4 - Startup: 0CE164.lnk = C:\WINDOWS\system32\827828\0CE164.EXE

　　用FileInfo提取C:\WINDOWS\system32\827828\0CE164.EXE文件信息，用bat_do打包备份后删除。

　　在HijackThis把这两个O4项钩上，修复。

　　打开注册表编辑器，定位到

[HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command

右边的默认值被篡改为

"C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.hao923.com.cn/

了，双击之，改为：

"C:\Program Files\Internet Explorer\iexplore.exe"
 
附：

文件说明符 : C:\WINDOWS\system32\827828\0CE164.EXE
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-2-26 17:14:50
修改时间 : 2009-2-26 17:14:52
大小 : 114688 字节 112.0 KB
MD5 : cd1e6a2e9ca60ddd73c38433bb76b5b8
SHA1: C441992B69671D5E845FB9BF0090F7B6B1B65542
CRC32: 25010717

文件 0CE164.EXE 接收于 2009.10.03 05:30:34 (UTC)
反病毒引擎 版本 最后更新 扫描结果
a-squared 4.5.0.24 2009.10.03 Trojan.Dloader!IK
AhnLab-V3 5.0.0.2 2009.10.02 -
AntiVir 7.9.1.27 2009.10.02 -
Antiy-AVL 2.0.3.7 2009.10.02 -
Authentium 5.1.2.4 2009.10.02 W32/Agent.CM.gen!Eldorado
Avast 4.8.1351.0 2009.10.02 -
AVG 8.5.0.420 2009.10.02 Agent.4.I
BitDefender 7.2 2009.10.03 -
CAT-QuickHeal 10.00 2009.10.03 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.10.03 -
Comodo 2498 2009.10.03 -
DrWeb 5.0.0.12182 2009.10.03 Trojan.Siggen.3067
eSafe 7.0.17.0 2009.10.01 -
eTrust-Vet 31.6.6774 2009.10.02 -
F-Prot 4.5.1.85 2009.10.02 W32/Agent.CM.gen!Eldorado
F-Secure 8.0.14470.0 2009.10.02 Worm.Win32.FlyStudio.cd
Fortinet 3.120.0.0 2009.10.03 -
GData 19 2009.10.03 -
Ikarus T3.1.1.72.0 2009.10.03 Trojan.Dloader
Jiangmin 11.0.800 2009.09.27 -
K7AntiVirus 7.10.858 2009.10.01 -
Kaspersky 7.0.0.125 2009.10.03 Worm.Win32.FlyStudio.cd
McAfee 5759 2009.10.02 Generic Downloader!hv.u
McAfee+Artemis 5759 2009.10.02 Generic Downloader!hv.u
McAfee-GW-Edition 6.8.5 2009.10.02 Heuristic.LooksLike.Win32.Suspicious.H
Microsoft 1.5101 2009.10.02 TrojanDropper:Win32/Silly_P2P.B
NOD32 4477 2009.10.02 -
Norman 6.01.09 2009.10.02 -
nProtect 2009.1.8.0 2009.10.03 -
Panda 10.0.2.2 2009.10.02 Suspicious file
PCTools 4.4.2.0 2009.10.02 -
Prevx 3.0 2009.10.03 -
Rising 21.49.22.00 2009.09.30 Worm.Win32.Autorun.fje
Sophos 4.45.0 2009.10.03 Mal/Autorun-I
Sunbelt 3.2.1858.2 2009.10.02 -
Symantec 1.4.4.12 2009.10.03 Backdoor.Trojan
TheHacker 6.5.0.2.027 2009.10.02 -
TrendMicro 8.950.0.1094 2009.10.02 PAK_Generic.001
VBA32 3.12.10.11 2009.10.03 Backdoor.Win32.FlyAgent.kn
ViRobot 2009.10.2.1968 2009.10.02 -
VirusBuster 4.6.5.0 2009.10.02 -
 
附加信息
File size: 114688 bytes
MD5...: cd1e6a2e9ca60ddd73c38433bb76b5b8
SHA1..: c441992b69671d5e845fb9bf0090f7b6b1b65542
SHA256: ff6d00599cb586bce0c010c5364b3f5ff1cc6e68d8d64c769dec8ae6a6b6d105
ssdeep: 3072:qFijZxiWGPey3dFEtEut3V0PxrxEyUppOl1uYxtbBwJd6sI4M6AM0fUHSmp<BR>sFijd:qwjPtYqt/5HyFijgPTBQCxggo<BR>
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set<BR>-
pdfid.: -
trid..: Win32 Executable Generic (38.5%)<BR>Win32 Dynamic Link Library (generic) (34.2%)<BR>Clipper DOS Executable (9.1%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)
sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
packers (Kaspersky): PE-Crypt.CF, PE-Crypt.CF
packers (F-Prot): PE-Crypt.CF

 
这种劫持浏览器的方法，以前也遇到过，如：
挂羊头卖狗肉的播放器
http://blog.csdn.net/Purpleendurer/archive/2009/07/05/4323084.aspx

本文来自CSDN博客，转载请标明出处：http://blog.csdn.net/Purpleendurer/archive/2009/10/08/4642424.aspx

2009-08-29 第1版

　　前两天，一位网友的电脑中了病毒，瑞星和360卫士都无法启动，请偶通过QQ远程协助帮忙检修。

　　先打开任务管理器，发现有名为iexplore.exe的进程，但任务栏上没没有IE的任务按钮，终止之。

　　用pe_xscan 扫描 log 并分析，发现如下可疑项（进程模块有省略）：

pe_xscan 09-06-21 by Purple Endurer 

2009-8-27 23:36:58 

Windows XP Service Pack 2(5.1.2600) 

MSIE:6.0.2900.2180 

管理员用户组 

正常模式

[System Process] * 0 

　　 C:\WINDOWS\system32\2EF0D734.dll | 2009-8-27 23:22:26 

　　 C:\WINDOWS\system32\Y4npJWJNr.dll | 2009-8-27 23:22:50 

　　 C:\WINDOWS\system32\704C3595.dll | 2009-8-27 23:21:58 

　　 C:\WINDOWS\fonts\A97CRaCB.fon | 2009-8-27 23:22:4 

　　 C:\WINDOWS\system32\pj83ZgsqjcWUNwjrRp42tFw.dll | 2009-8-27 23:21:50 

　　 C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf | 2009-8-27 23:21:46 

　　 C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll | 2009-8-27 23:21:52 

　　 C:\WINDOWS\system32\WcCtgJ4zcxHF.dll | 2009-8-27 23:21:26 

　　 C:\WINDOWS\system32\BMsg6pdMD4ht.dll | 2009-8-27 23:23:0 

　　 C:\WINDOWS\system32\GU6f5sW42mdc.dll | 2009-8-27 23:22:52 

　　 C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-8-27 23:22:46 

　　 C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon | 2009-8-27 23:22:10 

　　 C:\WINDOWS\system32\08223B03.dll | 2009-8-27 23:22:2 

　　 C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll | 2009-8-27 23:21:56 

　　 C:\WINDOWS\system32\w7uds3zyayg9.dll | 2009-8-27 23:21:36 

　　 C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-8-27 23:2:30 

　　 C:\WINDOWS\system32\rKPbzUHze58GK2VWcYUCt.inf | 2009-8-27 23:2:18 

C:\WINDOWS\System32\winlogon.exe* 712 | 2006-9-24 16:42:24 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE

　　 C:\WINDOWS\system32\COMRes.dll      |       2009-8-27 23:2:0 

C:\WINDOWS\System32\svchost.exe* 1128 | 2004-8-17 12:0:0

　　 C:\WINDOWS\system32\COMRes.dll      |       2009-8-27 23:2:0 

　　 c:\windows\system32\6to4.dll | 2009-8-27 23:1:38 

O4 - HKLM\..\run: [updater] C:\WINDOWS\system32\updater.exe

O23 - 服务: 6to4 (6to4) - C:\WINDOWS\System32\svchost.exe -k netsvcs | 2004-8-17 12:0:0 

　　-> C:\WINDOWS\system32\6to4.dll | 2009-8-27 23:1:38(自动) 

O23 - 服务: pcidump (pcidump) - C:\WINDOWS\system32\drivers\pcidump.sys | 2009-8-27 23:21:38(禁用) 

O23 - 服务: WmiSvc (WmiSvc) - C:\WINDOWS\system32\drivers\WmiSvc.sys | 2009-8-27 23:19:30(自动) 

O24 - ShlExecHook: [F] - {E3531A16-FFEA-416F-82DF-32FEDE02EABF} = C:\WINDOWS\system32\emHnPuBAaF7XjuXBbdxSg.dll | 2009-8-27 23:2:0 

O24 - ShlExecHook: [5] - {427E02E6-39DB-4424-A49C-7553CD1331F5} = C:\WINDOWS\system32\WcCtgJ4zcxHF.dll | 2009-8-27 23:21:26 

O24 - ShlExecHook: [5] - {AB8105BD-1B1B-40F3-8D3D-65FD7FC68CC5} = C:\WINDOWS\Downloaded Program Files\ktEDQzfuNZk2SUAMgyAZz.cur | 2009-8-27 23:21:30 

O24 - ShlExecHook: [4] - {CF2C613A-A0D9-4E5C-B1BB-6B03B269B054} = C:\WINDOWS\system32\rKPbzUHze58GK2VWcYUCt.inf | 2009-8-27 23:2:18 

O24 - ShlExecHook: [D] - {D6129F8A-6F6E-41D7-BBC9-AC7426759CED} = C:\WINDOWS\system32\w7uds3zyayg9.dll | 2009-8-27 23:21:36 

O24 - ShlExecHook: [3] - {51716C09-6B08-4CCF-B526-718E912C0573} = C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll | 2009-8-27 23:2:30 

O24 - ShlExecHook: [C] - {122B901E-493F-4AD9-BC69-7DE8C3E52FCC} = C:\WINDOWS\system32\122B901E.dll | 2009-8-27 23:2:36 

O24 - ShlExecHook: [9] - {5405A7B2-F3F5-446F-8715-2A4EF674E079} = C:\WINDOWS\system32\rfpz9wwyy2np.dll | 2009-8-27 23:2:42 

O24 - ShlExecHook: [0] - {610B6886-2A1A-475A-A842-65A613C70460} = C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf | 2009-8-27 23:21:46 

O24 - ShlExecHook: [C] - {765BA0B5-EBE4-4B1A-AFDA-5683606F626C} = C:\WINDOWS\system32\pj83ZgsqjcWUNwjrRp42tFw.dll | 2009-8-27 23:21:50 

O24 - ShlExecHook: [7] - {87DE8A1A-96C5-4420-B222-EF998F697CE7} = C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll | 2009-8-27 23:21:52 

O24 - ShlExecHook: [2] - {108DA6C0-CFBF-41D4-9A09-C4D06AE6FFD2} = C:\WINDOWS\system32\Q9q2MHJ3uTBErM7wc.dll | 2009-8-27 23:21:56 

O24 - ShlExecHook: [D] - {704C3595-DB85-40F6-A601-8D6F346907BD} = C:\WINDOWS\system32\704C3595.dll | 2009-8-27 23:21:58 

O24 - ShlExecHook: [E] - {08223B03-1B38-4A33-A83A-A4D3CC1D6E4E} = C:\WINDOWS\system32\08223B03.dll | 2009-8-27 23:22:2 

O24 - ShlExecHook: [1] - {8708994F-1758-4C2C-9A3F-FA22D6CCCB41} = C:\WINDOWS\fonts\A97CRaCB.fon | 2009-8-27 23:22:4 

O24 - ShlExecHook: [A] - {36AC68E6-0C26-4D39-B98E-54B49DAB6BAA} = C:\WINDOWS\system32\dhDhwS7fFW.dll | 2009-8-27 23:3:30 

O24 - ShlExecHook: [E] - {1055CA44-51F8-486B-8CBD-DC7AD4213F1E} = C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon | 2009-8-27 23:22:10 

O24 - ShlExecHook: [7] - {53915AE3-2660-4870-B092-C9E5A292D327} = C:\WINDOWS\fonts\DGvbbtCNkQVHR6JNYgc.fon | 2009-8-27 23:22:14 

O24 - ShlExecHook: [7] - {CD478099-014D-4B3A-A4BB-B518F1019BC7} = C:\WINDOWS\system32\SCEVFJRCmaB7.dll | 2009-8-27 23:22:16 

O24 - ShlExecHook: [0] - {23DA65D2-C696-4EE4-BEE8-B4841DEC3E30} = C:\WINDOWS\system32\ndxq9awMc.dll | 2009-8-27 23:22:22 

O24 - ShlExecHook: [F] - {2EF0D734-21FD-4225-A1A2-BCD296182AAF} = C:\WINDOWS\system32\2EF0D734.dll | 2009-8-27 23:22:26 

O24 - ShlExecHook: [4] - {51AA0D89-E9A9-4284-93E8-40C0FDD59304} = C:\WINDOWS\system32\eNyN5X48HrtXc.dll | 2009-8-27 23:22:28 

O24 - ShlExecHook: [7] - {0A2D7F10-1153-4061-AA4B-ACB870212B57} = C:\WINDOWS\system32\z5WRXqHagksJxWt.dll | 2009-8-27 23:22:32 

O24 - ShlExecHook: [A] - {A5CA6C70-7185-4466-AB45-B1C34E7A37CA} = C:\WINDOWS\system32\ed78ab9.dll | 2009-8-27 23:22:38 

O24 - ShlExecHook: [A] - {BE12C98F-645D-4566-B524-DC32040B7C8A} = C:\WINDOWS\system32\eYNMAnskCCBQCc8Jp.dll | 2009-8-27 23:22:40 

O24 - ShlExecHook: [0] - {822775B8-E45B-4E55-9325-0753A0C1DC00} = C:\WINDOWS\system32\wdGSVBqAs3Xk.dll | 2009-8-27 23:22:44 

O24 - ShlExecHook: [2] - {1719B301-B494-4185-9379-242461F9CF02} = C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf | 2009-8-27 23:22:46 

O24 - ShlExecHook: [5] - {38FEFE05-702C-440D-AD5C-B796209A1CC5} = C:\WINDOWS\system32\Y4npJWJNr.dll | 2009-8-27 23:22:50 

O24 - ShlExecHook: [6] - {50EBD6A5-0CF6-4E59-AE08-CCD991AA0596} = C:\WINDOWS\system32\GU6f5sW42mdc.dll | 2009-8-27 23:22:52 

O24 - ShlExecHook: [7] - {737858A9-9AEA-4838-9B49-54DA731F7F37} = C:\WINDOWS\system32\BMsg6pdMD4ht.dll | 2009-8-27 23:23:0 

O24 - ShlExecHook: [A] - {7F41BC77-7742-4ABF-9277-1316B43D049A} = C:\WINDOWS\system32\kFDDTTA2NjqgtbCWBxS.inf | 2009-8-27 23:17:22

HKLM\SHOWALL    值非1

endurer 原创
2009-08-23 第1版

　　一位朋友的学习机最近罢工了，把学习机接到电脑上，电脑中的江民杀毒软件就报告发现病毒，但总清除不干净。于是请偶通过QQ远程协助帮忙处理。

　　学习机接到电脑上后显示为一个移动盘。用WinRAR打开它，发现一个名为autorun.inf的文件，江民随即报告发现病毒，并把autorun.inf删除了。在WinRAR窗口可以看到，移动盘中所有的文件夹都有一个同名的、使用文件夹图标的.exe文件，文件大小都一样。

　　用FileInfo提取文件信息：

文件说明符 : I:\Recycle.exe
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-8-23 21:4:35
修改时间 : 2009-8-23 18:30:56
大小 : 1403788 字节 1.346 MB
MD5 : 44e574deb844542d0190599227e36e1e
SHA1: ACA46FC759B63A1B42E6E6C3E9C25667A41FFD23
CRC32: 7c06a445

　　上传到 http://www.virustotal.com 在线扫描，结果如下：

　　江民果然检测不出来。

　　先把所有与文件夹都有一个同名、使用文件夹图标的.exe文件删除，然后下载DrWeb CureIt!对该移动盘进行扫描。

　　扫描结束后，学习机可以正常使用了。