`
caobihole
  • 浏览: 948376 次
文章分类
社区版块
存档分类
最新评论

又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等

 
阅读更多

又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等

endurer 原创
2008-01-31 第1
一位网友反映,他的电脑最近经常弹出广告窗口,请偶帮忙检查。
下载 pe_xscan 扫描 log 并要析,发现如下可疑项:
/===
pe_xscan 08-01-29 by Purple Endurer
2008-1-31 12:24:24
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0 
  C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll 
  C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36 
C:/WINDOWS/EXPLORER.EXE* 836 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE 
  C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36 
  C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll 
  C:/PROGRAM FILES/ALISOFT/TOOLBAR/ASSIST/YASSIST.DLL | 2007-8-8 9:55:48 | 电子商务工具条 | 3, 5, 2, 1002 | Assist Module | Copyright 2007 Yahoo! China | 3, 5, 2, 1002 | Alibaba | Alibaba | yAssist | yAssist.DLL 
C:/WINDOWS/SYSTEM32/RUNDLL32.EXE* 1500 | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Run a DLL as an App | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | rundll | RUNDLL.EXE 
  C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll 
  C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36 
C:/WINDOWS/SYSTEM32/CTFMON.EXE* 1644 | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE 
  C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll 
  C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36 
C:/PROGRAM FILES/QQ2006/QQ.EXE * 2808 | 2007-12-19 19:28:20 | QQ | 7,0,365,1701 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT | | COMQQD | QQ.exe 
  C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS | 2008-1-31 9:15:36 
  C:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL | 2008-1-15 11:3:50 | SPlus Module | 5, 0, 3, 11 | | 腾讯科技(深圳)有限公司 版权所有 (C) 2007 | 5, 0, 3, 11 | TENCENT | | SPlus.dll | SPlus.dll 
O2 - BHO - {9963387B-212E-4643-B207-82DAEA0E713D} -C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WN_SYS8X.SYS
O2 - BHO - {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.WIN
O2 - BHO - {C5E87A05-F463-4841-B19E-DD3EC3862368} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS
O2 - BHO - {EE12D60D-AD9A-4095-B839-3BE6862679FD} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.DAT
O2 - BHO ASSIST - {FE3FCAE7-0A37-4506-8A7D-3CC9A04D2CA8} -C:/PROGRAM FILES/ALISOFT/TOOLBAR/ASSIST/YASSIST.DLL


O3 - IE工具栏: 淘宝工具条 - {78B2F60E-AFA5-4D3D-A49E-2BFF013D9D23} -C:/PROGRA~1/ALISOFT/TOOLBAR/ASSIST/YASBAR.DLL


O4 - HKLM/../RUN: [STUP.EXE] RUNDLL32.EXEC:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL ,Rundll32 R


O11 - IE扩展选项组:TBH (中文搜搜) =


O24 - SHLEXECHOOK: [WINDOWS] - {1AD50A6B-2E1B-417F-A1EB-BB539E9EA06E} =C:/DOCUME~1/user/LOCALS~1/TEMP/TMP152HR.DLL
O24 - SHLEXECHOOK: [] - {9963387B-212E-4643-B207-82DAEA0E713D} =C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WN_SYS8X.SYS
O24 - SHLEXECHOOK: [4] - {4FA10261-B890-F432-A453-69F1023513F4} =C:/WINDOWS/FONTS/GJCSDYC.DLL
O24 - SHLEXECHOOK: [] - {C5E87A05-F463-4841-B19E-DD3EC3862368} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS
O24 - SHLEXECHOOK: [] - {EE12D60D-AD9A-4095-B839-3BE6862679FD} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.DAT
O24 - SHLEXECHOOK: [] - {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.WIN
===/

先卸载 中文搜搜。

http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。

用 FileInfo 提出文件信息。

把log中的红色显示的文件加入bat_do的待处理文件列表,全选,延时删除。然后选择其中一部分打包备份。再全选,改所选文件名,延时删除。

下载安装瑞星卡卡安全助手并运行,查杀了1个流氓软件,然后在高级功能—>[插件管理及卸载] 里把O2 和O24 项卸载掉

下载 Dr.Web CureIt! 扫描,结果如下:
/---
>>C:/Documents and Settings/user/Local Settings/Temp/tmp19.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp158.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmpB.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp15.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp29.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/c8.jpg.exe 已被病毒感染 : Trojan.PWS.Gamania.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/sa.jpg.exe 已被病毒感染 : Trojan.PWS.Legmir.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/banner.jpg 已被病毒感染 : Trojan.PWS.Legmir.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp24.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp2E.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp40.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp3A.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp48.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp56.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp4F.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp4A.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>C:/Documents and Settings/user/Local Settings/Temp/tmp50.tmp 已被病毒感染 : Trojan.PWS.Gang.origin - 无法修复 - 已删除
>>C:/Documents and Settings/user/Local Settings/Temp/tmp5D.tmp 已被病毒感染 : Trojan.PWS.Lineage.origin - 无法修复 - 已删除
C:/Program Files/Alisoft/Toolbar/alilive.exe 是广告软件 Adware.Yassist
C:/Program Files/Alisoft/Toolbar/Assist/sremove.exe 是广告软件 Adware.Yassist
---/

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.ime
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:38:9
修改时间 : 2008-1-31 9:34:40
访问时间 : 2008-1-31 0:0:0
大小 : 24203 字节 23.651 KB
MD5 : d4e88aca1c740d66dd41f773e4ae622c
SHA1: 4FEE9BCD6D86E05C791C960FEBC16DFA50F762AB
CRC32: 1b244c2e

Panda 9.0.0.4 2008.01.30 Trj/Lineage.GND

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:48:37
修改时间 : 2008-1-31 8:49:54
访问时间 : 2008-1-31 0:0:0
大小 : 26777 字节 26.153 KB
MD5 : 4bcc4cc9a02dbdb5ccbe7306ce55b12e
SHA1: 6263960D48CB122A2210522F178EFDFCA3B973D9
CRC32: d1f76090

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.New
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:48:38
修改时间 : 2008-1-31 9:34:40
访问时间 : 2008-1-31 0:0:0
大小 : 23670 字节 23.118 KB
MD5 : f6c372a34e9faaf96ff4d622b8377826
SHA1: FC7EB880F31C52741B24DC6AE1099F5C11384126
CRC32: 6556805f

Panda 9.0.0.4 2008.01.30 Trj/Lineage.GND

文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/Sy_Win7k.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 13:12:56
修改时间 : 2008-1-31 8:58:26
访问时间 : 2008-1-31 0:0:0
大小 : 34420 字节 33.628 KB
MD5 : 7daf501041f5241b2f13ce209e4fcfdd
SHA1: 9DAA180C7BE70F6531B7E2B1F498EA2F0116B0B1
CRC32: 237abf75

分享到:
| 一目了然电脑配置的火眼金睛是如何练成的
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics