EFix 4.5 beta

發表時間: 2008-2-27 12:11 作者: sylovanas 來源: AVPClub Security Home

【軟體名稱】：EFix 4.5 beta版
【軟體性質】：不需安裝直接使用
【檔案大小】：目前是770K，還會再包一點東西預計大概是850K左右
【放置空間】：目前放在HINET網頁空間，等弄好會放到Google空間
【解壓密碼】：無
【檔案連結】：http://sylovanas.myweb.hinet.net/Temp/EFix45.exe
【軟體介紹】：
此檔案為使用DOS批次檔案搭配一些第三方工具所製作出來的，使用Winrar打包。

基本上就是處理隨身碟病毒用的，但另外會針對一些常會產生病毒的登錄值位置做清除動作 (EX:shellexecutehooks)
比較不同的地方是他會產生掃描報告
而掃描報告為類似一般系統分析軟體所產生的報告 (EX:SRENG)
但本身會先過濾一些通常是正常的文件
並會將自身刪除的檔案製作備份並移至備份資料夾內
也會使用ERUNT做登錄值備份方便還原

所產生的報表文件如下：

CODE:

EFix scan system report ver 4.5:



EFix執行位置:

C:\Documents and Settings\Maxwell\桌面\EFix45.exe



Microsoft Windows XP [版本 5.1.2600]        Service Pack 2





=======================================================

EFix刪除的檔案列表:



沒有刪除任何檔案.





=======================================================

EFix刪除的登錄值列表:



沒有刪除任何登錄值.





=======================================================

EFix刪除的檔案備份位置列表:





=======================================================

AUTORUN.INF





=======================================================



****** Created 2008-01 to 2008-02 Files ******



<DIR> 2008-02-26  2008-02-26 10:20  d--------  C:\_OTMoveIt

<DIR> 2008-02-21  2008-02-21 11:45  d--------  C:\temp

<DIR> 2008-02-12  2008-02-26 18:04  d--------  C:\NEFix

<DIR> 2008-02-01  2008-02-01 17:38  d--------  C:\WINDOWS\ERDNT

<DIR> 2008-01-14  2008-01-14 12:34  d--hs----  C:\Config.Msi

<DIR> 2008-01-11  2008-01-11 10:24  d--------  C:\WINDOWS\Minidump

      2008-02-26  2008-02-26 16:38  --a------  C:\swreg.exe

      2008-02-21  2000-08-31 08:00  --a------  C:\WINDOWS\system32\zip.exe

      2008-02-21  2000-08-31 08:00  --a------  C:\WINDOWS\system32\sed.exe

      2008-02-21  2000-08-31 08:00  --a------  C:\WINDOWS\system32\grep.exe

      2008-02-21  2000-08-31 08:00  --a------  C:\WINDOWS\system32\fdsv.exe

      2008-02-18  2008-02-18 09:28  --a------  C:\WINDOWS\system32\imon.dll

      2008-02-01  2000-08-31 08:00  --a------  C:\WINDOWS\Nircmd.exe

      2008-01-17  2005-04-06 23:52  --a------  C:\WINDOWS\system32\rmoc3260.dll

      2008-01-17  2004-08-04 20:00  --a------  C:\WINDOWS\system32\wmpns.dll

      2008-01-17  2001-06-23 01:31  --a------  C:\WINDOWS\system32\pncrt.dll

      2008-01-17  1998-05-12 20:36  --a------  C:\WINDOWS\system32\pndx5032.dll

      2008-01-17  1998-03-26 04:57  --a------  C:\WINDOWS\system32\pndx5016.dll

      2008-01-14  2005-12-05 18:09  --a------  C:\WINDOWS\system32\d3dx9_28.dll

      2008-01-14  2005-12-05 18:07  --a------  C:\WINDOWS\system32\xinput9_1_0.dll

      2008-01-14  2005-07-22 19:59  --a------  C:\WINDOWS\system32\d3dx9_27.dll

      2008-01-14  2005-05-26 15:34  --a------  C:\WINDOWS\system32\d3dx9_26.dll

      2008-01-14  2005-03-18 17:19  --a------  C:\WINDOWS\system32\d3dx9_25.dll

      2008-01-14  2005-02-05 19:45  --a------  C:\WINDOWS\system32\d3dx9_24.dll





=======================================================

執行中的程序:



C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program Files\Eset\nod32krn.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\imapi.exe



掛載在系統檔案中沒有資訊的dll檔:



C:\WINDOWS\system32\lsass.exe

=> C:\Program Files\Eset\pr_imon.dll



=======================================================

Hosts:

Hosts Path: C:\WINDOWS\System32\drivers\etc\hosts

127.0.0.1       blogo.tw   

127.0.0.1       club.blogo.tw         

127.0.0.1       sedewanion.com

127.0.0.1       www.blogo.tw      

127.0.0.1       www.1a123.com       

127.0.0.1       www.lovebak.com     

127.0.0.1       www.microsofttw.com 

127.0.0.1       www.456kill.com     

127.0.0.1       www.tw7890.com      

127.0.0.1        33.xingaide8.cn

127.0.0.1       skype.tom.com

127.0.0.1       222.73.247.201

127.0.0.1       222.73.247.131

127.0.0.1       222.73.26.9

127.0.0.1       222.73.247.131

127.0.0.1       222.73.247.202

127.0.0.1       220.189.255.29

127.0.0.1       222.73.247.202

127.0.0.1       222.73.254.67

127.0.0.1       220.189.255.29

127.0.0.1       222.73.26.14

127.0.0.1       222.73.26.9

127.0.0.1       60.191.223.75

127.0.0.1       nx.51ylb.cn

127.0.0.1       366ip.com





登錄值列表 *** 注意 : 部分正常值不會顯示 ***





[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe"  [2004-08-04 20:00] 

"DAEMON Tools"="C:\Program Files\DAEMON Tools\daemon.exe"  [2007-11-17 19:53] 



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe"  [2004-08-04 20:00] 

"Kernel and Hardware Abstraction Layer"=KHALMNPR.EXE  [2007-01-23 15:44 C:\WINDOWS\KHALMNPR.Exe] 

"nod32kui"="C:\Program Files\Eset\nod32kui.exe"  [2008-02-18 09:28] 



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\CTFMON.EXE"  [2004-08-04 20:00] 





[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\123.exe]

debugger=c:\windows\system32\svchost.exe



=======================================================





服務 \ 驅動 列表:



顯示方式 :  啟動狀態  服務名稱;顯示名稱;檔案名稱



啟動狀態 :  S0 = Boot Start  S1 = System Start  S2 = Auto Start  S3 = Manual Start  S4 = Disable



S2  AMON;AMON;C:\WINDOWS\system32\drivers\amon.sys  [2008-02-18 09:28]

S2  LBeepKE;LBeepKE;C:\WINDOWS\system32\Drivers\LBeepKE.sys  [2007-01-23 15:44]

S3  LUsbFilt;Logitech SetPoint KMDF USB Filter;C:\WINDOWS\system32\Drivers\LUsbFilt.Sys  [2007-01-23 15:45]

S3  NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys  [2007-06-29 08:01]

S1  VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys  [2007-10-18 09:55]

S1  VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys  [2007-10-18 09:55]



=======================================================

Winsock lsp :



000000000001;C:\WINDOWS\system32\imon.dll  --a------  2008-02-18 09:28

000000000002;C:\WINDOWS\system32\imon.dll  --a------  2008-02-18 09:28

000000000003;C:\WINDOWS\system32\imon.dll  --a------  2008-02-18 09:28

000000000004;C:\WINDOWS\system32\imon.dll  --a------  2008-02-18 09:28

000000000005;C:\WINDOWS\system32\imon.dll  --a------  2008-02-18 09:28

000000000017;C:\WINDOWS\system32\imon.dll  --a------  2008-02-18 09:28

最前面為版本資訊和執行位置以及Windows資訊
再來是刪除的檔案列表和刪除失敗的檔案列表以及備份位置的列表
Autorun.inf攔為有各磁碟不包含光碟的磁碟當有autorun.inf文件時會嘗試讀取該文件並將內容顯示出來
****** Created 2008-01 to 2008-02 Files ******欄位為從執行當月起一個月前所產生的一些檔案會顯示出來
會找的檔案有bat,cmd,com,dll,pif,scr,sys,vbs,exe,bin,wsf,vbe,dat
而尋找的路徑有
%systemroot%\system32
%systemroot%\system32\wbem
%systemroot%\font
%systemroot%\java
%systemroot%\inf
%systemroot%\help
%systemroot%\debug
%systemroot%\ime
%systemroot%\Temp
%systemroot%
%systemdrive%
還會新增..

程序部分為在掃描時期有掛載在系統的程序
沒資訊的dll檔為掛載在以下檔案中沒有任何訊息的檔案
檢查範圍有
%systemroot%\system32\csrss.exe
%systemroot%\system32\lsass.exe
%systemroot%\system32\winlogon.exe
%systemroot%\Explorer.EXE
上述如果沒有無資訊檔案時則不會顯示

host就不提了....就是檢查hosts文件而已
登錄值列表為搜尋部分可能病毒寫入的位置
檢查位置有如下：

hklm\software\microsoft\internet explorer\main
hkcu\software\microsoft\internet explorer\main

hklm\software\microsoft\windows nt\currentversion\winlogon "userinit" "Shell" "UIhost"
hkcu\software\microsoft\windows nt\currentversion\winlogon "userinit" "Shell" "UIhost"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler
hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks

hklm\software\microsoft\windows\currentversion\shellserviceobjectdelayload
hklm\software\microsoft\windows\currentversion\explorer\browser helper objects
hklm\software\microsoft\windows nt\currentversion\winlogon\notify
hklm\software\microsoft\windows nt\currentversion\image file execution options
hklm\software\microsoft\active setup\installed components

驅動服務列表為檢查登錄值
hklm\system\currentcontrolset\services
內含有imagepath的值

LSP部分則為檢查登錄值
hklm\system\currentcontrolset\services\winsock2\parameters
中的NameSpace_Catalog5和Protocol_Catalog9中含有LibraryPath的值和預設值

以上部分如果可以的話會尋找檔案並將產生時間顯示出來
而部分系統本來就存在的文件會省略掉。

大致上是這樣....
還在新增中就是。

[ 本帖最後由 sylovanas 於 2008-2-27 12:14 編輯 ]

我也來說兩句 查看全部評論相關評論

sylovanas (2008-2-27 12:27:05)

另外要注意的忘記打來不及編輯：

執行完畢後會關閉自動撥放功能
並執行中途會將執行中的程序關閉，有作業的程式記得要先存檔。
upside (2008-2-27 12:35:45)

大大一來馬上就給小弟提供最大的贈禮
sylovanas (2008-2-27 12:45:04)

哪裡

大家互相幫忙
upside (2008-2-27 16:19:33)

我一直想說跟你整合一下放入小弟的軟體之中
這樣功能會更齊全不知意下如何
不然真的要寫一套類似 sreng 的軟體

因為Efix 是獨立的軟體所以不影響主體
只是在功能表出現另外呼叫出來使用
sylovanas (2008-2-27 17:29:00)

ok可以啊

4.5版以後基本上是只剩我一個人在寫了....其他協力的都掛光了
還是說需不需要我將掃描系統的部分獨立出來？這樣功能就不會重疊可以節省一些檔案大小.

掃描那邊已經差不多完成約80%，

我這次寫是有特別將掃描部分獨立出來
只要最前面的檔案刪除報告去掉就可以單獨拿出來用了

有些地方可能需要您協助一下
剩下一些批次辦不到的東西(EX:啟動內的lnk檔要查實際檔案路徑內容和工作排程的job檔要查實際檔案路徑)，
那一部份批次已經完全辦不到了可能要靠您那邊來搞定，如果您有興趣的話啦
sylovanas (2008-2-27 17:43:31)

掃描部分新增

hklm\software\microsoft\windows nt\currentversion\windows "appinit_dlls"
hkcu\software\microsoft\windows nt\currentversion\windows "load"
hklm\software\classes\%file%\shell\open\command
hkcr\%file%\shell\open\command
%file%為
txtfile
exefile
comfile
piffile
regfile
batfile
scrfile
vbsfile
jsfile
lnkfile
簡單說就是執行副檔名的關連檢查。不是預設值的就會顯示出來
upside (2008-2-27 17:57:56)

其實我也是這麼想只需要掃瞄部份
其他再看情況是否需要再加入

剛好在製作最新版 1.04 這樣就可以加入了
sylovanas (2008-2-27 19:06:18)

ok

那我來將掃描部分分離一下
ok之後將檔案給你~
sylovanas (2008-3-01 23:16:05)

up大，檔案我做好了，我擺出來看您那邊要不要用吧

http://sylovanas.myweb.hinet.net/Antivirus/ESS.exe

只有在我這邊幾台電腦作業系統XP上面測過
2000我也測過ok但vista不知道

另外就是因為將一些前置動作拿掉了
如果說對方regedit編輯器被鎖的話就不能用了這一點要注意一下
danfong (2008-3-30 16:42:55)

已經無法下載，有哪為好心的大大能再補檔嗎？
sylovanas (2008-3-30 16:59:23)

啊....我都忘了0rz

補上位置：
http://reinfors.googlepages.com/efix
網頁內有注意事項和下載連結
目前版本為4.53版...等一下會升到4.54

可以清除kavo相關的病毒，以及掛載在hklm\...\run和hkcu\....\run裡面
各種偽裝成系統檔案的登錄值
EX:svchost.exe

從auotrun.inf抓取open=這一行的時候會將參數截掉
避免有惡意程式用 /s 參數誤導導致系統資料被刪除
EX:
open=\explorer.exe /s

如果autorun.inf為上述描述時
在使用一般批次刪除時
則有可能會造成指令變成

del \explorer.exe /s
這樣的話就會將所有在磁碟內的explorer.exe都刪除

[ 本帖最後由 sylovanas 於 2008-3-30 17:02 編輯 ]
danfong (2008-3-30 17:19:45)

QUOTE:
原帖由 sylovanas 於 2008-3-30 16:59 發表
啊....我都忘了0rz

補上位置：
http://reinfors.googlepages.com/efix
網頁內有注意事項和下載連結
目前版本為4.53版...等一下會升到4.54

可以清除kavo相關的病毒，以及掛載在hklm\...\run和hkcu\....\ru ...
感謝大大的快速回覆，請問版本何時會升級呢？
我想等升級後再下載。
upside (2008-3-30 17:25:03)

等你改版囉

最近rootkit 技術被病毒使用率越來越多
不知道新版能有對此分析呢
sylovanas (2008-3-30 18:03:50)

rootkit啊.....
目前找不太到適合的工具用

gmer的catchme在他網站只有放0.2版，我蠻想要他給一些安全工具像Combofix和SDFix使用的0.3版...
功能多威力也很強。
但沒來源我沒辦法
而且在包的話會破1M...0rz
sylovanas (2008-3-30 18:05:53)

另外4.54已經放了可以下載了~~~

使用上有問題的話就跟我說一下...畢竟是批次使用環境每個人都大不同不敢保證一定沒問題
upside (2008-3-30 19:01:04)

嗯檔案的大小的確是滿在意的
但只要功能好用
大家應該不會在呼檔案大小
很多好軟體檔案也相當大
但去下載的人非常多