又遇劫持浏览器的Trojan.StartPage.tns/nwlnksipx.sys

昨天一位朋友说他的电脑查杀出了病毒，让偶帮助看看。

下载了 pe_xscan 扫描 log 并分析，发现如下可疑项：

pe_xscan 07-03-17 by Purple Endurer
2007-5-6 10:35:46
Windows XP Service Pack 2(5.1.2600)
管理员用户组

O2 - BHO IEObject Class - {5F5422F7-7159-4CB6-BE7D-2C7EED492762} - C:\PROGRA~1\COMMON~1\yehoo\yehoo.dll

O4 - Global Startup: -20676.lnk -> C:\WINDOWS\system32\-20676.exe
O4 - Global Startup: -20844.lnk -> C:\WINDOWS\system32\-20844.exe
O4 - Global Startup: rdgjhd.lnk -> C:\WINDOWS\system32\rdgjhdi.exe

O23 - 服务: nwlnksipx (nwlnksipx) - C:\WINDOWS\system32\drivers\nwlnksipx.sys(自动)

用 HijackThis 和  瑞星卡卡安全助手修复，再用auto_del 在下次启动时删除 nwlnksipx.sys。

这个东东曾在 遭遇万能搜索(WANSO,Trojan.AdPlayer.a)等 中遇到过。

文件说明符 : c:\windows\system32\drivers\nwlnksipx.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 5.1.2600.80
说明 : NWLINK2 SIPX Protocol Driver
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.80
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : nwlnksipx.sys
源文件名 : nwlnksipx.sys
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2007-5-6 10:32:30
大小 : 6144 字节 6.0 KB
MD5 : cbb860ee6715a2a968d19d0cd5eaaa7e

Kaspersky 报为 Trojan.Win32.StartPage.amo，瑞星 报为 Trojan.StartPage.tns。

Scanned file:   nwlnksipx.sys - Infected
 
nwlnksipx.sys - infected by Trojan.Win32.StartPage.amo

Statistics:
Known viruses: 315008 Updated: 07-05-2007
File size (Kb): 6 Virus bodies: 1
Files: 1 Warnings: 0
Archives: 0 Suspicious: 0