- 浏览: 946069 次
-
文章分类
最新评论
检查中ARP病毒的电脑,一堆网游盗号木马Trojan.PSW.RocOnline变种等
endurer 原创
2007-05-22 第1版
今天终于有机会检查那台疑是中了ARP病毒的电脑
ARP病毒“吃里巴外”?
http://endurer.bokee.com/6277614.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/16/1611620.aspx
http://blog.sina.com.cn/u/49926d91010008q6
把网线断开,用U盘拷来 pe_xscan.exe、HijackThis.exe,bat_do.exe、FreeDLL.exe、FileInfo.exe、Dr.Web CureIt! 等工具备用。
先用 pe_xscan 扫描 log并分析,发现可疑项:
pe_xscan 07-03-17 by Purple Endurer
2007-5-22 12:15:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
G:/tool/3.exe | 2007-5-22 10:53:24
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/1mb0pe.l6v | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Advanced Windows 32 Base API | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | advapi32.dll | advapi32.dll
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll | 2007-5-22 8:56:20
C:/WINDOWS/system32/cmdbs.dll | 2007-5-22 8:56:20
C:/WINDOWS/system32/mppds.dll | 2007-5-22 8:56:20
C:/WINDOWS/system32/winform.dll | 2007-5-22 8:56:18
C:/WINDOWS/system32/javavmj.dll | 2007-5-22 8:56:18
C:/WINDOWS/EXPLORER.EXE * 1524
C:/WINDOWS/system32/pdkpri.dll | 2004-8-4 10:14:24
C:/WINDOWS/system32/wscsv.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/TALSZG.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/javavmj.dll | 2007-5-22 8:56:18
C:/WINDOWS/system32/winform.dll | 2007-5-22 8:56:18
C:/WINDOWS/system32/mppds.dll | 2007-5-22 8:56:20
C:/WINDOWS/system32/cmdbs.dll | 2007-5-22 8:56:20
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll | 2007-5-22 8:56:20
c:/windows/system32/bd.dll
C:/WINDOWS/system32/msacn.dll | 2004-8-17 12:0:0
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/Program Files/Common Files/Real/Update_OB/realsched.exe * 644
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/RunDll32.exe * 1180
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/ctfmon.exe * 2080
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/scvhost.exe * 2240
C:/WINDOWS/system32/npp/ndisnpp.dll | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Network Monitor NDIS Network Packet Provider | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | NDISNPP.DLL | NDISNPP.DLL
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/CONIME.EXE * 2356
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/RunDll32.exe * 3880
C:/WINDOWS/system32/TALSZG.dll | 2004-8-17 12:0:0
C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
O1 - (hosts文件的内容,太长,这里略了)
O4 - HKLM/../Run: [javavmj] C:/WINDOWS/javavmj.exe
O4 - HKLM/../Run: [winform] C:/WINDOWS/winform.exe
O4 - HKLM/../Run: [cmdbs] C:/WINDOWS/cmdbs.exe
O4 - HKLM/../Run: [mppds] C:/WINDOWS/mppds.exe
O4 - HKLM/../Run: [upxdnd] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe
O4 - HKLM/../Run: [A] C:/WINDOWS/system32/rundll32.exe 1.1 s
O4 - HKLM/../Run: [KVP] C:/WINDOWS/system32/drivers/svchost.exe
I:/autorun.inf
/,--
[AutoRun]
open=000.exe
,--/
O23 - 服务: MSDebugsvc (Win32 Debug Service) - C:/WINDOWS/system32rundll32.exe msdebug.dll,input(自动)
O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:/WINDOWS/system32rundll32.exe windhcp.ocx,input(自动)
O23 - 服务: WindowsDown (Windows Ins) - C:/WINDOWS/system32/servet.exe | 2007-5-15 18:34:52(自动)
O23 - 服务: WindowsDown000 (Windows) - C:/WINDOWS/system32/000.exe | 2007-5-16 10:13:30(自动)
O23 - 服务: WinXPDHCPsvc (WinXP DHCP Service) - C:/WINDOWS/system32rundll32.exe xpdhcp.dll,input(自动)
O24 - [] - {42A612A4-4334-4424-4234-42261A31A236} = C:/WINDOWS/system32/pdkpri.dll
O24 - [Microsoft Data Tools Query Designe] - {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} = C:/WINDOWS/system32/msacn.dll
O24 - [] - {B05AF49E-B05A-38D2-9E38-F49E38D27C16} = C:/WINDOWS/system32/TALSZG.dll
O25 - {AA312103-F04D-11cf-64CD-11EF5011CF20} = C:/WINDOWS/system32/nwizqjsj.exe
其中I:为U盘盘符,居然一插中就中标了……
检查 c:/windows/system32,发现一大堆可疑文件。
C:/>dir c:/windows/system32 /od /a
驱动器 C 中的卷是 WINXP
卷的序列号是 2A1D-0905
c:/windows/system32 的目录
……(略)
2007-05-15 07:26 18,432 AVG.exe
2007-05-15 07:26 18,432 CFTMON.exe
2007-05-15 07:26 19,456 INETINF.exe
2007-05-15 07:27 21,504 LSASSS.exe
2007-05-15 07:27 17,408 SVCHOTS.exe
2007-05-15 07:27 7,020 ALP.exe
2007-05-15 07:27 12,288 SOUND.exe
2007-05-15 07:27 17,920 DATSC.exe
2007-05-15 07:27 25,357 MSTCS.exe
2007-05-15 07:27 13,312 ADOBESVC.exe
2007-05-15 18:34 16,619 servet.exe
2007-05-16 10:13 16,652 000.exe
2007-05-16 10:14 142 kupini.dll
2007-05-16 10:14 21,745 WanPacket.dll
2007-05-16 10:14 26,956 Packet.dll
2007-05-16 10:14 82,512 wpcap.dll
2007-05-16 10:37 253,647 SMSSS.exe
2007-05-17 07:23 42,929 1.1
2007-05-18 07:46 8,192 nwizqjsj.exe
2007-05-18 07:46 8,704 nwizqjsj.dll
2007-05-18 07:46 19,456 msdebug.dll
2007-05-18 0€D7:46 17,739 until.ttc
2007-05-18 07:46 196,608 QQ.exe
2007-05-18 07:46 11,776 DOWN.exe
2007-05-18 15:26 22,528 MY.exe
2007-05-18 15:26 18,944 RemoteDbg.dll
2007-05-21 08:50 2,206 wpa.dbl
2007-05-21 08:51 20,480 windhcp.ocx
2007-05-21 08:51 18,944 xpdhcp.dll
2007-05-22 08:56 12,288 winform.dll
2007-05-22 08:56 6,656 javavmj.dll
2007-05-22 08:56 12,288 cmdbs.dll
2007-05-22 08:56 14,848 mppds.dll
……(略)
用FileInfo 和 bat_do 提取部分文件信息并打包、删除文件。
文件说明符 : C:/WINDOWS/winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-21 8:51:14
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 7928aac5390bbc9eaeb6f31c1f52707f
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te,瑞星 报为Trojan.PSW.OnlineGames.blk
文件说明符 : C:/WINDOWS/system32/winform.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 2c984634f05b719f8613f6333ce41eea
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te,瑞星 报为Trojan.PSW.Onli€DneGames.bln
文件说明符 : C:/WINDOWS/cmdbs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-21 8:51:36
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 5f0bdc2268abc3cad0df489222c00595
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,-瑞星 报为Trojan.PSW.OnlineGames.awo
文件说明符 : C:/WINDOWS/system32/cmdbs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 67c3c6dc9a297ac4263b4a70d042a2c3
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,瑞星 报为Trojan.PSW.OnlineGames.awo
文件说明符 : C:/WINDOWS/mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:5
修改时间 : 2007-5-17 7:23:36
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 8634660dddbdec6e0ac307e97fdfecf5
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qy,瑞星 报为Trojan.PSW.OnlineGames.bju
文件说明符 : C:/WINDOWS/system32/mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 14848 字节 14.512 KB
MD5 : 7eed3cc661cdb28a9faf8f3578a72f28
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rt,瑞星 报为Trojan.PSW.OnlineGames.bhm
文件说明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-16 10:14:8
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : f4ab45ae2671f6bd9d85d957e3a198d2
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh,瑞星 报为Trojan.PSW.OnlineGames.big
文件说明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:7
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : e125ffbd86f5cb2844de79f09ddfedc0
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh,瑞星 报为Trojan.PSW.OnlineGames.big
文件说明符 : C:/WINDOWS/system32/wgptl.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:/WINDOWS/system32/wtrmm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:/WINDOWS/system32/hreax.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:/WINDOWS/system32/1.1
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : n
修改时间 : n
访问时间 : n
大小 : 失败!
MD5 : d41d8cd98f00b204e9800998ecf8427e
Kaspersky 报为Trojan.Win32.Agent.aac,瑞星 报为Trojan.Mnless.luq
文件说明符 : C:/WINDOWS/system32/nwizqjsj.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:8
修改时间 : 2007-5-18 7:46:14
访问时间 : 2007-5-22 0:0:0
大小 : 8192 字节 8.0 KB
MD5 : 6921e0c6573d41ab4987c4c9bb58806b
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc,瑞星 报为Trojan.PSW.SunOnline.j
文件说明符 : C:/WINDOWS/system32/nwizqjsj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 8704 字节 8.512 KB
MD5 : 4318c362f4f100c62ee39e9a29aca23e
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc,瑞星 报为Trojan.PSW.SunOnline.j
文件说明符 : C:/WINDOWS/system32/TALSZG.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 76102 字节 74.326 KB
MD5 : 53cf7fef1871e74240f1d3b063872a67
Kaspersky 报为Trojan.Win32.Registrator.e,Dr.Web 报为BackDoor.Pigeon.1604
文件说明符 : C:/WINDOWS/system32/pdkpri.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2004-8-4 10:14:22
修改时间 : 2004-8-4 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 29696 字节 29.0 KB
MD5 : 20a6e67b102439252b48834ae7de0f70
Kaspersky 报为Trojan-Spy.Win32.Delf.uv,瑞星 报为Trojan.PSW.QQHX.bm
文件说明符 : C:/WINDOWS/system32/msacn.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:/WINDOWS/system32/servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38
文件说明符 : C:/WINDOWS/system32/drivers/scvhost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-22 8:56:22
访问时间 : 2007-5-22 0:0:0
大小 : 11081 字节 10.841 KB
MD5 : 059725b53772a916f11e27517edb6bf0
Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Spy.Agent.dcq
文件说明符 : C:/Program Files/QQ2006/q.dll
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2007-5-17 10:3:35
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 42929 字节 41.945 KB
MD5 : d1188636fe939be614aa1b453f7bd199
Dr.Web 报为 BackDoor.Pigeon.46
文件说明符 : C:/WINDOWS/system32/drivers/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:25
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b
Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Mnless.lpi
文件说明符 : C:/WINDOWS/system32/SPOOLVS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:23
修改时间 : 2007-5-14 7:56:44
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.RocOnline.bcp
文件说明符 : C:/WINDOWS/system32/AVG.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:3
修改时间 : 2007-5-15 7:26:30
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : 48efdfaf7b0170a86a835b90f81bbf89
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.ban
文件说明符 : C:/WINDOWS/system32/CFTMON.exe(endurer注:不是CTFMON.exe!)
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:25
修改时间 : 2007-5-15 7:26:32
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : fcc4badc9fc99a3c0f8fe3b7ddb4fa10
文件说明符 : C:/WINDOWS/system32/INETINF.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:28
修改时间 : 2007-5-15 7:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : db6bd9e42944b340435c44db6fd2e9f7
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.sx,瑞星 报为Trojan.PSW.OnlineGames.bkm
文件说明符 : C:/WINDOWS/system32/LSASSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:4:57
修改时间 : 2007-5-15 7:27:2
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 4639d05843048b12735c2114f457db6c
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.fb,瑞星 报为Trojan.PSW.OnlineGames.bek
文件说明符 : C:/WINDOWS/system32/SOUND.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:12
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : ccc9dc92f988828c26de38d5a8115851
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.azv
文件说明符 : C:/WINDOWS/system32/SVCHOTS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:14
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : ad076e1844b66158a53068f63c18bd41
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb,瑞星 报为Trojan.PSW.OnlineGames.bgg
文件说明符 : C:/WINDOWS/system32/ALP.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:16
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 7020 字节 6.876 KB
MD5 : 524d69a1141341a61635312d67ad22d8
Kaspersky 报为Trojan-PSW.Win32.WOW.qp,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.bbb
文件说明符 : C:/WINDOWS/system32/DATSC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:19
修改时间 : 2007-5-15 7:27:18
访问时间 : 2007-5-22 0:0:0
大小 : 17920 字节 17.512 KB
MD5 : f1a40a9fa4ffcb376e9fbcf0a74b0b56
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.bbg
文件说明符 : C:/WINDOWS/system32/MSTCS.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.0
说明 : Microsoft Wisin Control
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wisin
源文件名 : Wisin.exe
创建时间 : 2007-5-10 18:5:27
修改时间 : 2007-5-15 7:27:22
访问时间 : 2007-5-22 0:0:0
大小 : 25357 字节 24.781 KB
MD5 : abf8b9249508a8a7d82bb1c0eca6f5a7
Kaspersky 报为Trojan-Downloader.Win32.Small.czl,Dr.Web 报为BackDoor.Twin,瑞星 报为Trojan.DL.Small.vcz
文件说明符 : C:/WINDOWS/system32/ADOBESVC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 7:27:23
修改时间 : 2007-5-15 7:27:24
访问时间 : 2007-5-22 0:0:0
大小 : 13312 字节 13.0 KB
MD5 : 129275b9e3055f0e2caf78371b6cb42b
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,瑞星 报为Trojan.PSW.OnlineGames.bbn
文件说明符 : C:/WINDOWS/system32/servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38
文件说明符 : C:/WINDOWS/system32/000.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:31
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-5-22 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7
AVP报为 Trojan-Downloader.Win32.Delf.bjy,瑞星报为 Trojan.DL.Small.vax
文件说明符 : C:/WINDOWS/system32/kupini.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:22
修改时间 : 2007-5-16 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 142 字节
MD5 : 75e7d1e28eeea0d55199851d09e904d1
文件说明符 : C:/WINDOWS/system32/wpcap.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : wpcap - Based on libpcap 0.9.3
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap high level library
公司名称 : CACE Technologies
合法商标 :
内部名称 : wpcap
源文件名 : wpcap.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 82512 字节 80.592 KB
MD5 : cc207b8798e1abfacbf33294ac795395
文件说明符 : C:/WINDOWS/system32/Packet.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : Packet
版权 : Copyright ? 1999-2005 NetGroup, Politecnico di Torino. Copyright ? 2005 CACE Technologies
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level packet library
公司名称 : CACE Technologies
合法商标 :
内部名称 : Packet
源文件名 : Packet.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 26956 字节 26.332 KB
MD5 : a04f24d9b37898ee9a738ac89f43aeef
文件说明符 : C:/WINDOWS/system32/WanPacket.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : WanPacket
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level NetMon wrapper library
公司名称 : CACE Technologies
合法商标 :
内部名称 : WanPacket
源文件名 : WanPacket.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 21745 字节 21.241 KB
MD5 : ca2b864f5c78393138530773af7a6873
文件说明符 : C:/WINDOWS/system32/SMSSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:32
修改时间 : 2007-5-16 10:37:0
访问时间 : 2007-5-22 0:0:0
大小 : 253647 字节 247.719 KB
MD5 : 839f9b8601dd81f7892604c6d794b736
Dr.Web 报为Trojan.PWS.Wsgame
这个文件包中的文件本身并非病毒,只是被病毒利用了。
文件说明符 : C:/WINDOWS/system32/msdebug.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 85bb9146c1a7906b51825d4849fc65b8
Kaspersky 报为Trojan.Win32.Agent.abf,瑞星 报为Trojan.Mnless.lvf
文件说明符 : C:/WINDOWS/system32/until.ttc
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:51
修改时间 : 2007-5-18 7:46:22
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:/WINDOWS/system32/QQ.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:23
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b
Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Mnless.lpi
文件说明符 : C:/WINDOWS/system32/DOWN.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 2ndSpAcE
合法商标 :
内部名称 : dl
源文件名 : dl.exe
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-18 7:46:26
访问时间 : 2007-5-22 0:0:0
大小 : 11776 字节 11.512 KB
MD5 : b4643ccfcde7c2c57bf9f16701800a73
Kaspersky 报为Trojan-Downloader.Win32.VB.axv,Dr.Web 报为Trojan.DownLoader.10548,瑞星 报为Trojan.DL.VB.nut
文件说明符 : C:/WINDOWS/system32/MY.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:59
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 22528 字节 22.0 KB
MD5 : 2c8aa101fb7dcb32ccda7acb02e08244
Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.Proxy.Small.rh
文件说明符 : C:/WINDOWS/system32/RemoteDbg.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:0
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : c7d92cc4d8a1a03f60b458391eec28b4
文件说明符 : C:/WINDOWS/system32/windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:47
修改时间 : 2007-5-21 8:51:20
访问时间 : 2007-5-22 0:0:0
大小 : 20480 字节 20.0 KB
MD5 : 051b0744460d524b88d9233546cb487b
Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.PSW.OnlineGames.bkf
文件说明符 : C:/WINDOWS/system32/xpdhcp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:2
修改时间 : 2007-5-21 8:51:42
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : 887c741b5edf554b3592e8662053a678
Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.PSW.Agent.jxp
文件说明符 : C:/WINDOWS/system32/javavmj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:57:18
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : e57d77531398977f8453640c9abdfa1d
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.Inject.255,瑞星 报为Trojan.PSW.OnlineGames.bbj
文件说明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[2].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:56:41
修改时间 : 2007-5-14 7:56:42
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 报为Tojan.PWS.Gamania,瑞星 报为Trojan.PSW.RocOnline.bcp
文件说明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/CHD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:43
修改时间 : 2007-5-17 7:23:46
访问时间 : 2007-5-22 0:0:0
大小 : 23040 字节 22.512 KB
MD5 : 3bca9403fa907000bc038af7a406c506
Kaspersky 报为Trojan-Proxy.Win32.Small.du,Dr.Web 报为 Trojan.Havedo,瑞星 报为Trojan.Proxy.Small.rf
文件说明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/WD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:47
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 70163 字节 68.531 KB
MD5 : 6293be30047f29324f96701fe1f76827
Kaspersky 报为Trojan.Win32.Agent.aac,Dr.Web 报为BackDoor.Pigeon.1604,瑞星 报为Trojan.Mnless.luq
c:/windows/system32/bd.dll这个文件因为时间的关系,没有拿到。
然后用Dr.Web CureIt!查杀C盘的一些目录,结果如下:
=================================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
---------------------------------
c:/windows/javavmj.exe infected with Trojan.PWS.Wsgame - deleted
c:/windows/system32/talszg.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
c:/windows/temp/avp.exe infected with Trojan.PWS.Wsgame - deleted
C:/Program Files/QQ2006/q.dll infected with BackDoor.Pigeon.46 - deleted
C:/WINDOWS/system32/javavmj.dll infected with Trojan.Inject.255 - will be cured after reboot
C:/WINDOWS/system32/TALSZG.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
C:/WINDOWS/temp/Kavs0.dll infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/LSASSS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/AVG[2].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/DATSC[2].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[2].exe infected with Trojan.PWS.Gamania - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/AVG[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/CHD[1].exe infected with Trojan.Havedo - deleted
>>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/DOWN[1].exe infected with Trojan.DownLoader.10548 - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/CFTMON[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/SOUND[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/MSTCS[1].exe infected with BackDoor.Twin - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/MH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/WD[1].exe infected with BackDoor.Pigeon.1604 - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/SVCHOTS[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ALP[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ALP[2].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/JH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ZT[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/ADOBESVC[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/MSTCS[1].exe probably infected with BACKDOOR.Trojan
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/MSTCS[2].exe probably infected with BACKDOOR.Trojan
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QJ[1].exe probably infected with MULDROP.Trojan
>>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QQ[1].exe/data001 infected with Trojan.Sniff
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QQ[1].exe - archive contains infected objects - moved
一些查不出来的用 bat_do.exe 的延时删除功能来解决。
用HijackThis修复O4、O23等项目。
下载安装瑞星卡卡安全助手修复O24等项目。
重启电脑,接上网线测试,打开一些国内网站的网页,检查源代码,没有发现被加入包含病毒网址的代码。
发表评论
相关推荐
俄罗斯安全软件Dr.Web,Trojan. Plastix木马感染文件解除工具plstfix
什么是木马病毒(Trojan) 木马病毒的原理 木马病毒的特征 木马病毒的发展 木马病毒的种类 1. 网络游戏木马 2. 网银木马 3. 即时通讯软件木马 4. 网页点击类木马 5. 下载类木马 6. 代理类木马 木马病毒的危害 ...
RECYCLER.exe变种,GHOST.PIF变种,KPE.exe(EKS.exe) Trojan.DL.VB.nua,services.exe变种,sysauto.exe变种,myserver变种,pegefile.pif(Trojan.PSW.Win32.Agent.mk), autorun.exe (Worm.Win32.Agent.h)等
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
Trojan专杀工具,用着真不错;我在网上找了好长时间才长到的,愿意与大家一块来分享.另外,本人是教育行业的,分享一个好的英语资料下载站:http://www.51tjw.com
安铁诺Trojan.VBS.StartPage.dy专杀 V2010.exe。针对1KB病毒
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。该木马...
俄罗斯安全软件大蜘蛛Dr.Web,木马解锁工具.
我的电脑让学生插了一下U盘,结果电脑出现中毒现象(变慢、经常蓝屏、出错、自动重启),一查是染上了 假冒腾迅TXPLATFORM.EXE 的U盘病毒,属于 Trojan.Generic.Is.536802,此文介绍查杀方法
本软件用于查杀各类已知或未知的蠕虫病毒、木马、QQ尾巴、盗号程序、恶作剧程序等。通过对 “冰河”、 “蓝色火焰”、 “BO”、 “广外女生”、 “黑洞”、 “网结”病毒(Worm.Plexus.b)、 “将死者”病毒(Worm.Gone...
ARP地址欺骗类病毒(以下简称ARP病毒)是一类特殊的病毒,该病毒一般属于木马(Trojan)病毒,不具备主动传播的特性,不会自我复制。但是由于其发作的时候会向全网发送伪造的ARP数据包,干扰全网的运行,因此它的危害...
js.scob.trojan
2020年trojan最新windows64客户端
可查杀最新木马,主要用于查杀Trojan.Malscript!html等易中木马
针对Trojan-Dropper.Win32.Dropkit.a病毒,清除所需要的工具包,包括金山反间谍2007、PowerRmv、sreng2.5
安全相关-病毒防治-trojan remover(木马查杀) v6.zip
RakhniDecryptor,即卡巴斯基Rakhni勒索病毒解密工具,可以解密Rakhni在内的15种勒索病毒软件,其中还包括一款安卓勒索软件"Trojan-Ransom.AndroidOS.Pletor",如果你的电脑或安卓手机感染了勒索病毒,可以使用该...
采用全智能化的木马病毒查杀方式,从木马病毒的查杀,到电脑系统的修复,它让您轻松完成,独创的木马病毒分析检测技术让它拥有非凡的扫描速度,独创的实时监控功能可以实时监控在您的电脑上进行的每一个操作,并且让...
软件支持标准扫描、定制扫描和ActiveX三种扫描方式,能够检查系统中的登录文件、扫描WIN.INI、SYSTEM.INI和系统登录文件,且扫描完成後会产生Log资讯文件,可清除多达56万种特洛伊木马病毒并支持病毒库在线升级功能...