修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq2

修改系统日期、替换explorer.exe的Trojan-Downloader.Win32.Agent.rjq2
endurer 原创 2008-06-19 第1版
(继1)
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。
在bat_do输入命令：
ren c:/windows/explorer.exe explorer.exe.bak
copy c:/windows/system32/explorer.exe c:/windows
执行。
这时Windows系统会提示文件被替换，要求插入window xp光盘，点取消。
用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息；用 bat_do 打包备份，延时删除，改所选文件名，再延时删除。
下载并安装 瑞星卡卡安全助手，切换到[高级功能]->[系统启动项管理]，
然后选[高级功能]->[插件管理及卸载]，把 O2、O24 项卸载掉
在左边点击[登录项]，在右边找到 O4 项对应的项目，右击，从弹出的菜单里选择删除。
在左边点击[应用程序初始化动态连接库]，在右边找到 O20 项对应的项目，右击，从弹出的菜单里选择删除。
在左边分别点击[服务项]和[驱动]，找到 O23组的对应项， 右击，从弹出的菜单中选择删除。
在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。
打开注册表编辑器 regedit，删除O21对应的项目。
运行计划任务，删除 DDD_Install_Program.job 
用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。
重启电脑~
这下电脑工作正常了。
附部分病毒文件信息：
文件说明符 : C:/Windows/explorer.exe
属性 : A---
M$签名:否
PE文件:是

创建时间 : 2008-6-13 21:21:53
修改时间 : 2007-6-13 21:21:56
大小 : 977920 字节 955.0 KB
MD5 : 939c19ccc1f5290cef910c1f2ca44c6e
SHA1: D8F304991111F81B34D129BE02B303D0E3C17499
CRC32: d74da4c2
卡巴斯基报为 Trojan-Downloader.Win32.Agent.rjq
文件说明符 : C:/DOCUME~1/lnh/LOCALS~1/Temp/1.tmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2000-6-13 21:39:30
修改时间 : 2000-6-13 21:39:32
大小 : 420 字节
MD5 : 1ed3da33f09ab356de92467770393801
SHA1: 913DB75CD66C6289177A37D99A5E4B7BC3EFAC5F
CRC32: 9a92bff1
ＣＳＤＮ的博客越弄越差了，居然不支持换行，懒得手动修改了，要看得爽，请转到：http://endurer.bokee.com/6741773.html
文件说明符 : C:/WINDOWS/System32/drivers/larjphk.sys 属性 : A--- 语言 : 中文(中国) 文件版本 : 1, 0, 1, 3 说明 : sys 应用程序版权 : 版权所有 (C) 2006 产品版本 : 1, 0, 1, 3 产品名称 : sys 应用程序公司名称 : 北京三七二一科技有限公司内部名称 : sys 源文件名 : sys.exe 创建时间 : 2007-6-7 1:36:21 修改时间 : 2007-6-7 1:36:22 大小 : 41984 字节 41.0 KB MD5 : e9950dc00dcc456675895eccd6d59e41 SHA1: FCEC8E847EAE9C20B5F7739A93ED3F75EC8087DB CRC32: f8f654e9
文件说明符 : C:/WINDOWS/system32/rfdswc.dll 属性 : A-H- 获取文件版本信息大小失败! 创建时间 : 2000-6-13 21:2:24 修改时间 : 2000-6-14 11:9:54 大小 : 254464 字节 248.512 KB MD5 : e79e7ff86e9cdd06bb8ae93eb23e3e95 SHA1: FA6F964DF7A305124D94F05AC50DD4DE912FC918 CRC32: b0d6a843
文件说明符 : C:/WINDOWS/system32/ddserh.dll 属性 : A-H- 获取文件版本信息大小失败! 创建时间 : 2000-6-13 21:42:7 修改时间 : 2000-6-14 11:8:52 大小 : 261632 字节 255.512 KB MD5 : ca1d27b563f6537498011c0d5ec032c5 SHA1: 571AFB318702082DA975E62ED0059D456EB45ED4 CRC32: 39ab9467
文件说明符 : C:/WINDOWS/system32/zefdst.dll 属性 : A-H- 获取文件版本信息大小失败! 创建时间 : 2000-6-13 21:2:8 修改时间 : 2000-6-14 11:8:46 大小 : 232960 字节 227.512 KB MD5 : abbb96dcb1d7e333af2f5973729412ce SHA1: 46EB251A56607F5D8092C375805485AA8C0416B8 CRC32: 8798adf3
文件说明符 : C:/WINDOWS/system32/fmschif.dll 属性 : ---- 获取文件版本信息大小失败! 创建时间 : 2000-6-14 15:6:3 修改时间 : 2000-6-14 15:6:4 大小 : 41240 字节 40.280 KB MD5 : 51a8d3e38fda9ddbeb67a3ba190622d4 SHA1: 2FC3B2CC3DC030F9738D6449A22938B885FE510C CRC32: bbfda674
文件说明符 : C:/WINDOWS/system32/fewqickd.dlL 属性 : ---- 获取文件版本信息大小失败! 创建时间 : 2000-6-14 15:6:2 修改时间 : 2000-6-14 15:6:4 大小 : 41244 字节 40.284 KB MD5 : d79095abdfff601ebf2851499615bc48 SHA1: EDBD4E17EA950DAC380B4878A78E3B9B627698FA CRC32: fc297902
文件说明符 : C:/WINDOWS/system32/fmcbbqi.dll 属性 : ---- 获取文件版本信息大小失败! 创建时间 : 2000-6-14 15:6:2 修改时间 : 2000-6-14 15:6:4 大小 : 41244 字节 40.284 KB MD5 : d91a29fccedb2b2f48d501a38fc42dd6 SHA1: 4CCBADD46C4D9FC17E3FDACB23E01DB9CE635A64 CRC32: 20fa1914
文件说明符 : C:/WINDOWS/system32/ioliuacd.dll 属性 : ---- 获取文件版本信息大小失败! 创建时间 : 2000-6-14 15:6:2 修改时间 : 2000-6-14 15:6:4 大小 : 41236 字节 40.276 KB MD5 : 5c0c3bc4b264ff7c6c158a31703542f9 SHA1: 5009531E32A40B2DDA637069E2C08F0D541976E3 CRC32: dac57106
文件说明符 : C:/WINDOWS/conime.exe 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2008-6-11 8:45:58 修改时间 : 2007-6-13 21:21:56 大小 : 977920 字节 955.0 KB MD5 : 939c19ccc1f5290cef910c1f2ca44c6e SHA1: D8F304991111F81B34D129BE02B303D0E3C17499 CRC32: d74da4c2
文件说明符 : C:/WINDOWS/system32/SVKP.sys 属性 : A--- 语言 : 英语(美国) 文件版本 : 4.00 说明 : SVKP driver for NT 版权 : Copyright (C) Microsoft Corp. 1981-1999 产品版本 : 1.00 产品名称 : SVKP driver for NT 公司名称 : AntiCracking 内部名称 : SVKP.sys 源文件名 : SVKP.sys 创建时间 : 2007-11-17 22:58:29 修改时间 : 2007-11-17 22:58:30 大小 : 2368 字节 2.320 KB MD5 : f05028b163b92c302a74409d683ac9b0 SHA1: 74A943B9F3BF63F8DE5C3175F96366B24A661067 CRC32: 3002edda
文件说明符 : C:/WINDOWS/system32/ycar26.exe 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2000-6-13 22:17:51 修改时间 : 2000-6-13 22:17:52 大小 : 19736 字节 19.280 KB MD5 : 9daf0422dfaaa90345f313604df54042 SHA1: D6EE22174D28134C588FB3F38EF40EC4E74A81D0 CRC32: ebb1db71
文件说明符 : C:/WINDOWS/fmschif.exe 同 C:/WINDOWS/system32/ycar26.exe
文件说明符 : C:/WINDOWS/system32/zkqm30.exe 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2000-6-13 22:18:0 修改时间 : 2000-6-13 22:18:2 大小 : 19021 字节 18.589 KB MD5 : 871a2b8965ecdb42b9355428ba0a9dcb SHA1: FCCC865833D78465B4252C9E6F3747FCF37F4210 CRC32: a429a706
文件说明符 : C:/WINDOWS/system32/zwkj10.exe 属性 : A--- 获取文件版本信息大小失败! 创建时间 : 2000-6-13 22:11:1 修改时间 : 2000-6-13 22:11:2 大小 : 19220 字节 18.788 KB MD5 : 2093338489e98d88ea090f068f099d4d SHA1: 2A9C3D5EEFAB5F9BFED8E9B99E23D38BBEC134F0 CRC32: 29189c4a
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/DosSys32.Jmp 属性 : A--- 数字签名:否 PE文件:否创建时间 : 2000-6-13 21:23:17 修改时间 : 2000-6-14 11:10:26 大小 : 30835 字节 30.115 KB MD5 : 957efb72785c0fdbcdede792feb63cf4 SHA1: 5186A00D676501B6DED2E725D6F6BB7B6563261E CRC32: 72db9c7f
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/UnixSys32.Jmp 属性 : A--- 数字签名:否 PE文件:否创建时间 : 2000-6-13 21:2:11 修改时间 : 2000-6-13 21:20:10 大小 : 30837 字节 30.117 KB MD5 : 04bbc611cf71662c1775109a9837d981 SHA1: 5D1021D5904CC6FF81C98EA71BCC3098BED0F26D CRC32: a09ada1c
文件说明符 : C:/WINDOWS/fmcbbqi.exe 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2000-6-13 21:22:33 修改时间 : 2000-6-14 11:9:42 大小 : 19228 字节 18.796 KB MD5 : 8ea26de245d6ce8bb4d2a76835a86b09 SHA1: 61B2547C0ABA1823CAD01266F3E21A56F656F841 CRC32: 84e71753
文件说明符 : C:/WINDOWS/fewqickd.exe 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2000-6-13 21:22:53 修改时间 : 2000-6-14 11:10:2 大小 : 19740 字节 19.284 KB MD5 : 8660eaafb109549d176f56ad57c6530c SHA1: 7A801A7E6229673040AEB194B2C108E62607CA31 CRC32: ac3156c1
（完）