遭遇 Trojan.Win32.KillFiles.m, Packer.Mian007等
endurer 原创
2007-09-18 第1版
刚才一位网友说他的电脑最近启动很慢,让偶通过QQ远程协助检查。
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-18 12:53:3
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/system32/EXPLORER.EXE * 1428 | 2006-10-25 8:32:36 | Microsoft(R) Windows(R) Operating System | 6.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.2900.2180 | Microsoft Corporation| ? | EXPLORER | EXPLORER.EXE
C:/WINDOWS/svchost.exe * 1768 | 2007-5-29 15:42:16 | | 1.00| ?| ? | 1.00| ?| ? | 1 | 1.exe
C:/Program Files/Yayad/AdPop.Exe * 2440 | 2007-1-11 1:54:32 | Ad. Pop | 1.0.0.1 | Ad. Popup | (c) CDM. All rights reserved. | 1.0.0.1 | CDM| ? | AdPop.exe | AdPop.exe
C:/Program Files/Yayad/autoupdate.dll | 2007-1-11 1:53:46 | autoupdate | 1.0.0.1 | autoupdate | (c) <Yayad>. All rights reserved. | 1.0.0.1 | CDM| ? | autoupdate.dll | autoupdate.dll
C:/Program Files/Internet Explorer/IEXPLORE.EXE * 1484 | 2004-8-17 20:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/Program Files/Yayad/AdCore.dll | 2007-1-11 1:54:52 | Ad Core | 1.0.0.1 | Ad Core | (c) CDM. All rights reserved. | 1.0.0.1 | CDM| ? | AdCore.dll | AdCore.dll
F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE
O4 - HKCU/../Run: [wsctf.exe] wsctf.exe
O4 - HKCU/../Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - Global Startup: Windows.hta -> Invalid lnk file
I:/autorun.inf
/-----
[autorun]
OPEN=Autorun.exe
ICON=PR2.exe
-----/
O23 - 服务: c12063328 (c12063328) - System32/drivers/c12063328.sys(引导)
O23 - 服务: Internet Explorer (Internet Explorer Service) - C:/WINDOWS/svchost.exe | 2007-5-29 15:42:16 | | 1.00| ?| ? | 1.00| ?| ? | 1 | 1.exe(自动)
O23 - 服务: Mysee2_Runtime () - C:/WINDOWS/System32/svchost.exe -k mysee2 -> C:/WINDOWS/system32/gy/runtime.dll | 2006-7-5 14:59:14 | runtime 应用程序 | 1, 0, 0, 3 | <Mysee Live!> Runtime | (C) 北京高维视讯科技有限公司。保留所有权利。 | 1, 0, 0, 3 | 北京高维视讯科技有限公司| ? | <Mysee Live!> Runtime | runtime.exe(手动)
O23 - 服务: npkycryp (npkycryp) - C:/WINDOWS/system32/npkycryp.sys(手动)
O23 - 服务: pohci13F (pohci13F) - C:/DOCUME~1/www/LOCALS~1/Temp/pohci13F.sys(手动)
O23 - 服务: WS2IFSL (Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境) - C:/WINDOWS/System32/drivers/ws2ifsl.sys | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.0 | Winsock2 IFS Layer | ? Microsoft Corporation. All rights reserved. | 5.1.2600.0 (xpclient.010817-1148) | Microsoft Corporation| ? | ws2ifsl.sys | ws2ifsl.sys(禁用)
===/
到 http://endurer.ys168.com 下载 ProcView 和 HijackThis。
用ProcView终止进程:
C:/WINDOWS/system32/EXPLORER.EXE
C:/WINDOWS/svchost.exe
用 HijackThis 修复 F2 和 O4。
到控制面板的添加删除程序里 卸载 Yayad
打开注册表编辑器删除 O23 的项目。
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份,再删除。
文件说明符 : C:/WINDOWS/svchost.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 :
公司名称 :
合法商标 :
内部名称 : 1
源文件名 : 1.exe
创建时间 : 2007-5-29 15:42:15
修改时间 : 2007-5-29 15:42:16
访问时间 : 2007-9-18 0:0:0
大小 : 16384 字节 16.0 KB
MD5 : d339fe10cf5ccd99bc95a4e702579301
HSA1: 8AEF0ADDE759AF973ED10D798CC067C8BA2E4373
瑞星报为 Trojan.Win32.KillFiles.m
Scanned file: svchost.exe - Infected
|
文件说明符 : C:/WINDOWS/system32/EXPLORER.EXE
属性 : -SHR
语言 : 中文(中国)
文件版本 : 6.2900.2180
说明 : Windows Explorer
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 6.2900.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : EXPLORER
源文件名 : EXPLORER.EXE
创建时间 : 2007-8-21 20:52:35
修改时间 : 2006-10-25 8:32:36
访问时间 : 2007-9-18 0:0:0
大小 : 84701 字节 82.733 KB
MD5 : 1a58d82fe73fb4e9de10facb0ef22881
HSA1: 71B949ACEBB15DA95057B3F9FBC1BE4CAC461B69
瑞星报为 Packer.Mian007
Scanned file: EXPLORER.EXE - Infected
|
文件说明符 : C:/WINDOWS/system32/gy/runtime.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 0, 3
说明 : <Mysee Live!> Runtime
版权 : (C) 北京高维视讯科技有限公司。保留所有权利。
备注 :
产品版本 : 1, 0, 0, 3
产品名称 : runtime 应用程序
公司名称 : 北京高维视讯科技有限公司
合法商标 :
内部名称 : <Mysee Live!> Runtime
源文件名 : runtime.exe
创建时间 : 2006-8-1 13:2:42
修改时间 : 2006-7-5 14:59:14
访问时间 : 2007-9-18 0:0:0
大小 : 569344 字节 556.0 KB
MD5 : d99151f4e4fecac91862edaad4e3c055
HSA1: 45A1B6EE195F537B58E8791E593F93EE21DF2389
文件说明符 : I:/PR2.exe
属性 : ---R
语言 : 德语(德国)
文件版本 : 1.1.1.8
说明 : Port Royale 2
版权 : Copyright (C) 2002-2004
备注 :
产品版本 : 1.1.1.8
产品名称 :
公司名称 : Ascaron Entertainment GmbH
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2004-12-10 23:30:16
修改时间 : 2004-12-10 23:30:16
访问时间 : 1601-1-1 8:0:0
大小 : 7847936 字节 7.496 MB
MD5 : 3f5e3ac92cd73f92024a4eedc0ddc512
HSA1: E1F514FA33F82E40A83D7BAE964B1BF2E9DD1539
文件说明符 : I:/Autorun.exe
属性 : ---R
语言 : 德语(德国)
文件版本 : 1, 0, 0, 0
说明 : AutoRun
版权 : Copyright (C) 2002
备注 : Scripted Autorun
产品版本 : 1, 0, 0, 0
产品名称 : Scriptable AutoRun
公司名称 : Ascaron Entertainment GmbH
合法商标 :
内部名称 : AutoRun
源文件名 : AutoRun.exe
创建时间 : 2004-4-4 9:53:44
修改时间 : 2004-4-4 9:53:44
访问时间 : 1601-1-1 8:0:0
大小 : 270336 字节 264.0 KB
MD5 : 494e74d927921d8da85b3a5e7ae93652
HSA1: D962A1D0EF216B9C56F21B87E1565AE31E3ACD6C
C:/Documents and Settings/All Users/「开始」菜单/程序/启动/Windows.hta
包含 javascript 脚本,功能是运行 IE,把窗口移动到屏幕显示范围之外,打开hxxp://www.i***f5*6.cn/l*o*/downmm.html,然后运行下载到 IE 缓存中的 abc[1].exe。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。
相关推荐
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
1、Trojan-Ransom.Win32.Rakhni 2、Trojan-Ransom.Win32.Aura 3、Trojan-Ransom.Win32.Agent.iih 4、Trojan-Ransom.Win32.Autoit 5、Trojan-Ransom.AndroidOS.Pletor (安卓下的勒索软件) 6、Trojan-Ransom.Win32....
RannohDecryptor是卡巴斯基推出的一个Rannoh勒索病毒解密工具,可以解密Rannoh在内的7款勒索软件加密的文件,包括Polyglot、Rannoh、AutoIt、Fury...7、Trojan-Ransom.Win32.CryptXXX (目前能解版本1、版本2,版本3)
俄罗斯安全软件Dr.Web,Trojan. Plastix木马感染文件解除工具plstfix
2020年trojan最新windows64客户端
增加5个变种的查杀,分别是Trojan.Win32.Undef.iqd,Trojan.Win32.Undef.pun,Trojan.Win32.Undef.kcq等 文件信息: Size: 148992 bytes File Version: 2.03 Modified: 2008年9月3日, 15:21:22 MD5: 0B85E5AFC3E...
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。...
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
js.scob.trojan
如何快速判断一个文件是否为病毒.如何快速判断一个文件是否为病毒如何快速判断一个文件是否为病毒如何快速判断一个文件是否为病毒如何快速判断一个文件是否为病毒如何快速判断一个文件是否为病毒如何快速判断一个...
trojan
Gridinsoft Trojan Killer木马克星是专门来禁用/删除没有用户不必手动编辑系统文件或注册表的恶意软件。该方案还删除一些恶意软件进行了一些标准的防病毒扫描器忽略额外的系统修改。 Trojan Killer扫描所有的...
我的电脑让学生插了一下U盘,结果电脑出现中毒现象(变慢、经常蓝屏、出错、自动重启),一查是染上了 假冒腾迅TXPLATFORM.EXE 的U盘病毒,属于 Trojan.Generic.Is.536802,此文介绍查杀方法
Trojan is a stable and efficient mobile lightweight log SDK that not only records general logs, such as Http, power changes, component life cycles, but also records the definition of the log, ...Use m
可查杀最新木马,主要用于查杀Trojan.Malscript!html等易中木马
本软件用于查杀各类已知或未知的...QQ密码使者、 QQ密码大盗、Trojan.QQSender.nicex、 Trojan.QQSender.ok530、 Trojan.QQSender.qiumei、Trojan.QQSender.qq3344 等2300余种病毒、木马测试,查杀准确率达98%以上!