检查中ARP病毒的电脑,一堆网游盗号木马Trojan PSW RocOnline变种等
endurer 原創
2007-05-22? 第1版
今天終于有機會檢查那臺疑是中了ARP病毒的電腦
ARP病毒“吃里巴外”?
http://endurer.bokee.com/6277614.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/16/1611620.aspx
http://blog.sina.com.cn/u/49926d91010008q6
把網線斷開,用U盤拷來 pe_xscan.exe、HijackThis.exe,bat_do.exe、FreeDLL.exe、FileInfo.exe、Dr.Web CureIt! 等工具備用。
先用 pe_xscan 掃描 log并分析,發現可疑項:
pe_xscan 07-03-17 by Purple Endurer
2007-5-22 12:15:52
Windows XP Service Pack 2(5.1.2600)
管理員用戶組
[System Process] * 0
??? G:/tool/3.exe | 2007-5-22 10:53:24
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/WINDOWS/system32/1mb0pe.l6v | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Advanced Windows 32 Base API | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | advapi32.dll | advapi32.dll
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
??? C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll | 2007-5-22 8:56:20
??? C:/WINDOWS/system32/cmdbs.dll | 2007-5-22 8:56:20
??? C:/WINDOWS/system32/mppds.dll | 2007-5-22 8:56:20
??? C:/WINDOWS/system32/winform.dll | 2007-5-22 8:56:18
??? C:/WINDOWS/system32/javavmj.dll | 2007-5-22 8:56:18
C:/WINDOWS/EXPLORER.EXE * 1524
??? C:/WINDOWS/system32/pdkpri.dll | 2004-8-4 10:14:24
??? C:/WINDOWS/system32/wscsv.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/TALSZG.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/javavmj.dll | 2007-5-22 8:56:18
??? C:/WINDOWS/system32/winform.dll | 2007-5-22 8:56:18
??? C:/WINDOWS/system32/mppds.dll | 2007-5-22 8:56:20
??? C:/WINDOWS/system32/cmdbs.dll | 2007-5-22 8:56:20
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll | 2007-5-22 8:56:20
??? c:/windows/system32/bd.dll
??? C:/WINDOWS/system32/msacn.dll | 2004-8-17 12:0:0
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/Program Files/Common Files/Real/Update_OB/realsched.exe * 644
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/RunDll32.exe * 1180
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/ctfmon.exe * 2080
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/scvhost.exe * 2240
??? C:/WINDOWS/system32/npp/ndisnpp.dll | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Network Monitor NDIS Network Packet Provider | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | NDISNPP.DLL | NDISNPP.DLL
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/CONIME.EXE * 2356
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/RunDll32.exe * 3880
??? C:/WINDOWS/system32/TALSZG.dll | 2004-8-17 12:0:0
??? C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
??? C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
??? C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
??? C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
O1 - (hosts文件的內容,太長,這里略了)
O4 - HKLM/../Run: [javavmj] C:/WINDOWS/javavmj.exe
O4 - HKLM/../Run: [winform] C:/WINDOWS/winform.exe
O4 - HKLM/../Run: [cmdbs] C:/WINDOWS/cmdbs.exe
O4 - HKLM/../Run: [mppds] C:/WINDOWS/mppds.exe
O4 - HKLM/../Run: [upxdnd] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe
O4 - HKLM/../Run: [A] C:/WINDOWS/system32/rundll32.exe 1.1 s
O4 - HKLM/../Run: [KVP] C:/WINDOWS/system32/drivers/svchost.exe
I:/autorun.inf
/,--
[AutoRun]
open=000.exe
,--/
O23 - 服務: MSDebugsvc (Win32 Debug Service) - C:/WINDOWS/system32rundll32.exe msdebug.dll,input(自動)
O23 - 服務: WinDHCPsvc (Windows DHCP Service) - C:/WINDOWS/system32rundll32.exe windhcp.ocx,input(自動)
O23 - 服務: WindowsDown (Windows Ins) - C:/WINDOWS/system32/servet.exe | 2007-5-15 18:34:52(自動)
O23 - 服務: WindowsDown000 (Windows) - C:/WINDOWS/system32/000.exe | 2007-5-16 10:13:30(自動)
O23 - 服務: WinXPDHCPsvc (WinXP DHCP Service) - C:/WINDOWS/system32rundll32.exe xpdhcp.dll,input(自動)
O24 - [] - {42A612A4-4334-4424-4234-42261A31A236} = C:/WINDOWS/system32/pdkpri.dll
O24 - [Microsoft Data Tools Query Designe] - {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} = C:/WINDOWS/system32/msacn.dll
O24 - [] - {B05AF49E-B05A-38D2-9E38-F49E38D27C16} = C:/WINDOWS/system32/TALSZG.dll
O25 - {AA312103-F04D-11cf-64CD-11EF5011CF20} = C:/WINDOWS/system32/nwizqjsj.exe
其中I:為U盤盤符,居然一插中就中標了……
檢查 c:/windows/system32,發現一大堆可疑文件。
C:/>dir c:/windows/system32 /od /a
?驅動器 C 中的卷是 WINXP
?卷的序列號是 2A1D-0905
?c:/windows/system32 的目錄
……(略)
2007-05-15? 07:26??????????? 18,432 AVG.exe
2007-05-15? 07:26??????????? 18,432 CFTMON.exe
2007-05-15? 07:26??????????? 19,456 INETINF.exe
2007-05-15? 07:27??????????? 21,504 LSASSS.exe
2007-05-15? 07:27??????????? 17,408 SVCHOTS.exe
2007-05-15? 07:27???????????? 7,020 ALP.exe
2007-05-15? 07:27??????????? 12,288 SOUND.exe
2007-05-15? 07:27??????????? 17,920 DATSC.exe
2007-05-15? 07:27??????????? 25,357 MSTCS.exe
2007-05-15? 07:27??????????? 13,312 ADOBESVC.exe
2007-05-15? 18:34??????????? 16,619 servet.exe
2007-05-16? 10:13??????????? 16,652 000.exe
2007-05-16? 10:14?????????????? 142 kupini.dll
2007-05-16? 10:14??????????? 21,745 WanPacket.dll
2007-05-16? 10:14??????????? 26,956 Packet.dll
2007-05-16? 10:14??????????? 82,512 wpcap.dll
2007-05-16? 10:37?????????? 253,647 SMSSS.exe
2007-05-17? 07:23??????????? 42,929 1.1
2007-05-18? 07:46???????????? 8,192 nwizqjsj.exe
2007-05-18? 07:46???????????? 8,704 nwizqjsj.dll
2007-05-18? 07:46??????????? 19,456 msdebug.dll
2007-05-18? 0€D7:46??????????? 17,739 until.ttc
2007-05-18? 07:46?????????? 196,608 QQ.exe
2007-05-18? 07:46??????????? 11,776 DOWN.exe
2007-05-18? 15:26??????????? 22,528 MY.exe
2007-05-18? 15:26??????????? 18,944 RemoteDbg.dll
2007-05-21? 08:50???????????? 2,206 wpa.dbl
2007-05-21? 08:51??????????? 20,480 windhcp.ocx
2007-05-21? 08:51??????????? 18,944 xpdhcp.dll
2007-05-22? 08:56??????????? 12,288 winform.dll
2007-05-22? 08:56???????????? 6,656 javavmj.dll
2007-05-22? 08:56??????????? 12,288 cmdbs.dll
2007-05-22? 08:56??????????? 14,848 mppds.dll
……(略)
用FileInfo 和 bat_do 提取部分文件信息并打包、刪除文件。
文件說明符 : C:/WINDOWS/winform.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:42
修改時間 : 2007-5-21 8:51:14
訪問時間 : 2007-5-22 0:0:0
大小 : 19456 字節 19.0 KB
MD5 : 7928aac5390bbc9eaeb6f31c1f52707f
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.te,瑞星 報為Trojan.PSW.OnlineGames.blk
文件說明符 : C:/WINDOWS/system32/winform.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:42
修改時間 : 2007-5-22 8:56:18
訪問時間 : 2007-5-22 0:0:0
大小 : 12288 字節 12.0 KB
MD5 : 2c984634f05b719f8613f6333ce41eea
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.te,瑞星 報為Trojan.PSW.Onli€DneGames.bln
文件說明符 : C:/WINDOWS/cmdbs.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:49
修改時間 : 2007-5-21 8:51:36
訪問時間 : 2007-5-22 0:0:0
大小 : 19456 字節 19.0 KB
MD5 : 5f0bdc2268abc3cad0df489222c00595
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.es,-瑞星 報為Trojan.PSW.OnlineGames.awo
文件說明符 : C:/WINDOWS/system32/cmdbs.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:49
修改時間 : 2007-5-22 8:56:20
訪問時間 : 2007-5-22 0:0:0
大小 : 12288 字節 12.0 KB
MD5 : 67c3c6dc9a297ac4263b4a70d042a2c3
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.es,瑞星 報為Trojan.PSW.OnlineGames.awo
文件說明符 : C:/WINDOWS/mppds.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:5
修改時間 : 2007-5-17 7:23:36
訪問時間 : 2007-5-22 0:0:0
大小 : 21504 字節 21.0 KB
MD5 : 8634660dddbdec6e0ac307e97fdfecf5
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.qy,瑞星 報為Trojan.PSW.OnlineGames.bju
文件說明符 : C:/WINDOWS/system32/mppds.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:6
修改時間 : 2007-5-22 8:56:20
訪問時間 : 2007-5-22 0:0:0
大小 : 14848 字節 14.512 KB
MD5 : 7eed3cc661cdb28a9faf8f3578a72f28
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.rt,瑞星 報為Trojan.PSW.OnlineGames.bhm
文件說明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:6
修改時間 : 2007-5-16 10:14:8
訪問時間 : 2007-5-22 0:0:0
大小 : 18944 字節 18.512 KB
MD5 : f4ab45ae2671f6bd9d85d957e3a198d2
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.qh,瑞星 報為Trojan.PSW.OnlineGames.big
文件說明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:7
修改時間 : 2007-5-22 8:56:20
訪問時間 : 2007-5-22 0:0:0
大小 : 12288 字節 12.0 KB
MD5 : e125ffbd86f5cb2844de79f09ddfedc0
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.qh,瑞星 報為Trojan.PSW.OnlineGames.big
文件說明符 : C:/WINDOWS/system32/wgptl.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2004-8-17 12:0:0
修改時間 : 2004-8-17 12:0:0
訪問時間 : 2007-5-22 0:0:0
大小 : 17739 字節 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件說明符 : C:/WINDOWS/system32/wtrmm.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2004-8-17 12:0:0
修改時間 : 2004-8-17 12:0:0
訪問時間 : 2007-5-22 0:0:0
大小 : 17739 字節 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件說明符 : C:/WINDOWS/system32/hreax.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2004-8-17 12:0:0
修改時間 : 2004-8-17 12:0:0
訪問時間 : 2007-5-22 0:0:0
大小 : 17739 字節 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件說明符 : C:/WINDOWS/system32/1.1
屬性 : -SHR
獲取文件版本信息大小失敗!
創建時間 : n
修改時間 : n
訪問時間 : n
大小 : 失敗!
MD5 : d41d8cd98f00b204e9800998ecf8427e
Kaspersky 報為Trojan.Win32.Agent.aac,瑞星 報為Trojan.Mnless.luq
文件說明符 : C:/WINDOWS/system32/nwizqjsj.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:8
修改時間 : 2007-5-18 7:46:14
訪問時間 : 2007-5-22 0:0:0
大小 : 8192 字節 8.0 KB
MD5 : 6921e0c6573d41ab4987c4c9bb58806b
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.rc,瑞星 報為Trojan.PSW.SunOnline.j
文件說明符 : C:/WINDOWS/system32/nwizqjsj.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:10
修改時間 : 2007-5-18 7:46:16
訪問時間 : 2007-5-22 0:0:0
大小 : 8704 字節 8.512 KB
MD5 : 4318c362f4f100c62ee39e9a29aca23e
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.rc,瑞星 報為Trojan.PSW.SunOnline.j
文件說明符 : C:/WINDOWS/system32/TALSZG.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2004-8-17 12:0:0
修改時間 : 2004-8-17 12:0:0
訪問時間 : 2007-5-22 0:0:0
大小 : 76102 字節 74.326 KB
MD5 : 53cf7fef1871e74240f1d3b063872a67
Kaspersky 報為Trojan.Win32.Registrator.e,Dr.Web 報為BackDoor.Pigeon.1604
?
文件說明符 : C:/WINDOWS/system32/pdkpri.dll
屬性 : -SH-
獲取文件版本信息大小失敗!
創建時間 : 2004-8-4 10:14:22
修改時間 : 2004-8-4 10:14:24
訪問時間 : 2007-5-22 0:0:0
大小 : 29696 字節 29.0 KB
MD5 : 20a6e67b102439252b48834ae7de0f70
Kaspersky 報為Trojan-Spy.Win32.Delf.uv,瑞星 報為Trojan.PSW.QQHX.bm
文件說明符 : C:/WINDOWS/system32/msacn.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2004-8-17 12:0:0
修改時間 : 2004-8-17 12:0:0
訪問時間 : 2007-5-22 0:0:0
大小 : 17739 字節 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件說明符 : C:/WINDOWS/system32/servet.exe
屬性 : -SH-
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 10:14:56
修改時間 : 2007-5-15 18:34:52
訪問時間 : 2007-5-22 0:0:0
大小 : 16619 字節 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38
文件說明符 : C:/WINDOWS/system32/drivers/scvhost.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:27
修改時間 : 2007-5-22 8:56:22
訪問時間 : 2007-5-22 0:0:0
大小 : 11081 字節 10.841 KB
MD5 : 059725b53772a916f11e27517edb6bf0
Kaspersky 報為Backdoor.Win32.Delf.awy,瑞星 報為Trojan.Spy.Agent.dcq
文件說明符 : C:/Program Files/QQ2006/q.dll
屬性 : ASHR
獲取文件版本信息大小失敗!
創建時間 : 2007-5-17 10:3:35
修改時間 : 2007-5-17 7:23:50
訪問時間 : 2007-5-22 0:0:0
大小 : 42929 字節 41.945 KB
MD5 : d1188636fe939be614aa1b453f7bd199
Dr.Web 報為 BackDoor.Pigeon.46
文件說明符 : C:/WINDOWS/system32/drivers/svchost.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:25
修改時間 : 2007-5-18 7:46:24
訪問時間 : 2007-5-22 0:0:0
大小 : 196608 字節 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b
Kaspersky 報為Backdoor.Win32.Delf.awy,瑞星 報為Trojan.Mnless.lpi
文件說明符 : C:/WINDOWS/system32/SPOOLVS.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 18:5:23
修改時間 : 2007-5-14 7:56:44
訪問時間 : 2007-5-22 0:0:0
大小 : 13824 字節 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 報為Trojan.PWS.Wsgame,瑞星 報為Trojan.PSW.RocOnline.bcp
文件說明符 : C:/WINDOWS/system32/AVG.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 10:15:3
修改時間 : 2007-5-15 7:26:30
訪問時間 : 2007-5-22 0:0:0
大小 : 18432 字節 18.0 KB
MD5 : 48efdfaf7b0170a86a835b90f81bbf89
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.nb,Dr.Web 報為Trojan.PWS.Wsgame,瑞星 報為Trojan.PSW.OnlineGames.ban
文件說明符 : C:/WINDOWS/system32/CFTMON.exe(endurer注:不是CTFMON.exe!)
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 10:15:25
修改時間 : 2007-5-15 7:26:32
訪問時間 : 2007-5-22 0:0:0
大小 : 18432 字節 18.0 KB
MD5 : fcc4badc9fc99a3c0f8fe3b7ddb4fa10
文件說明符 : C:/WINDOWS/system32/INETINF.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 10:15:28
修改時間 : 2007-5-15 7:26:48
訪問時間 : 2007-5-22 0:0:0
大小 : 19456 字節 19.0 KB
MD5 : db6bd9e42944b340435c44db6fd2e9f7
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.sx,瑞星 報為Trojan.PSW.OnlineGames.bkm
文件說明符 : C:/WINDOWS/system32/LSASSS.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 18:4:57
修改時間 : 2007-5-15 7:27:2
訪問時間 : 2007-5-22 0:0:0
大小 : 21504 字節 21.0 KB
MD5 : 4639d05843048b12735c2114f457db6c
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.fb,瑞星 報為Trojan.PSW.OnlineGames.bek
文件說明符 : C:/WINDOWS/system32/SOUND.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 18:5:12
修改時間 : 2007-5-15 7:27:4
訪問時間 : 2007-5-22 0:0:0
大小 : 12288 字節 12.0 KB
MD5 : ccc9dc92f988828c26de38d5a8115851
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.es,Dr.Web 報為Trojan.PWS.Wsgame,瑞星 報為Trojan.PSW.OnlineGames.azv
文件說明符 : C:/WINDOWS/system32/SVCHOTS.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 18:5:14
修改時間 : 2007-5-15 7:27:4
訪問時間 : 2007-5-22 0:0:0
大小 : 17408 字節 17.0 KB
MD5 : ad076e1844b66158a53068f63c18bd41
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.nb,瑞星 報為Trojan.PSW.OnlineGames.bgg
文件說明符 : C:/WINDOWS/system32/ALP.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 18:5:16
修改時間 : 2007-5-15 7:27:4
訪問時間 : 2007-5-22 0:0:0
大小 : 7020 字節 6.876 KB
MD5 : 524d69a1141341a61635312d67ad22d8
Kaspersky 報為Trojan-PSW.Win32.WOW.qp,Dr.Web 報為Trojan.PWS.Wsgame,瑞星 報為Trojan.PSW.OnlineGames.bbb
文件說明符 : C:/WINDOWS/system32/DATSC.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 18:5:19
修改時間 : 2007-5-15 7:27:18
訪問時間 : 2007-5-22 0:0:0
大小 : 17920 字節 17.512 KB
MD5 : f1a40a9fa4ffcb376e9fbcf0a74b0b56
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.es,Dr.Web 報為Trojan.PWS.Wsgame,瑞星 報為Trojan.PSW.OnlineGames.bbg
文件說明符 : C:/WINDOWS/system32/MSTCS.exe
屬性 : A---
語言 : 中文(中國)
文件版本 : 5.1.2600.0
說明 : Microsoft Wisin Control
版權 : Microsoft Corporation. All rights reserved.
備注 :
產品版本 : 5.1.2600.0
產品名稱 : Microsoft(R) Windows(R) Operating System
公司名稱 : Microsoft Corporation
合法商標 :
內部名稱 : wisin
源文件名 : Wisin.exe
創建時間 : 2007-5-10 18:5:27
修改時間 : 2007-5-15 7:27:22
訪問時間 : 2007-5-22 0:0:0
大小 : 25357 字節 24.781 KB
MD5 : abf8b9249508a8a7d82bb1c0eca6f5a7
Kaspersky 報為Trojan-Downloader.Win32.Small.czl,Dr.Web 報為BackDoor.Twin,瑞星 報為Trojan.DL.Small.vcz
文件說明符 : C:/WINDOWS/system32/ADOBESVC.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-15 7:27:23
修改時間 : 2007-5-15 7:27:24
訪問時間 : 2007-5-22 0:0:0
大小 : 13312 字節 13.0 KB
MD5 : 129275b9e3055f0e2caf78371b6cb42b
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.es,瑞星 報為Trojan.PSW.OnlineGames.bbn
文件說明符 : C:/WINDOWS/system32/servet.exe
屬性 : -SH-
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 10:14:56
修改時間 : 2007-5-15 18:34:52
訪問時間 : 2007-5-22 0:0:0
大小 : 16619 字節 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38
文件說明符 : C:/WINDOWS/system32/000.exe
屬性 : -SH-
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:31
修改時間 : 2007-5-16 10:13:30
訪問時間 : 2007-5-22 0:0:0
大小 : 16652 字節 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7
AVP報為 Trojan-Downloader.Win32.Delf.bjy,瑞星報為 Trojan.DL.Small.vax
文件說明符 : C:/WINDOWS/system32/kupini.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:22
修改時間 : 2007-5-16 10:14:24
訪問時間 : 2007-5-22 0:0:0
大小 : 142 字節
MD5 : 75e7d1e28eeea0d55199851d09e904d1
文件說明符 : C:/WINDOWS/system32/wpcap.dll
屬性 : A---
語言 : 語言中性
文件版本 : 3, 1, 0, 27
說明 : wpcap - Based on libpcap 0.9.3
版權 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
備注 :
產品版本 : 3, 1, 0, 27
產品名稱 : WinPcap high level library
公司名稱 : CACE Technologies
合法商標 :
內部名稱 : wpcap
源文件名 : wpcap.dll
創建時間 : 2007-5-16 10:14:24
修改時間 : 2007-5-16 10:14:26
訪問時間 : 2007-5-22 0:0:0
大小 : 82512 字節 80.592 KB
MD5 : cc207b8798e1abfacbf33294ac795395
文件說明符 : C:/WINDOWS/system32/Packet.dll
屬性 : A---
語言 : 語言中性
文件版本 : 3, 1, 0, 27
說明 : Packet
版權 : Copyright ? 1999-2005 NetGroup, Politecnico di Torino. Copyright ? 2005 CACE Technologies
備注 :
產品版本 : 3, 1, 0, 27
產品名稱 : WinPcap low level packet library
公司名稱 : CACE Technologies
合法商標 :
內部名稱 : Packet
源文件名 : Packet.dll
創建時間 : 2007-5-16 10:14:24
修改時間 : 2007-5-16 10:14:26
訪問時間 : 2007-5-22 0:0:0
大小 : 26956 字節 26.332 KB
MD5 : a04f24d9b37898ee9a738ac89f43aeef
文件說明符 : C:/WINDOWS/system32/WanPacket.dll
屬性 : A---
語言 : 語言中性
文件版本 : 3, 1, 0, 27
說明 : WanPacket
版權 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
備注 :
產品版本 : 3, 1, 0, 27
產品名稱 : WinPcap low level NetMon wrapper library
公司名稱 : CACE Technologies
合法商標 :
內部名稱 : WanPacket
源文件名 : WanPacket.dll
創建時間 : 2007-5-16 10:14:24
修改時間 : 2007-5-16 10:14:26
訪問時間 : 2007-5-22 0:0:0
大小 : 21745 字節 21.241 KB
MD5 : ca2b864f5c78393138530773af7a6873
文件說明符 : C:/WINDOWS/system32/SMSSS.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-10 10:15:32
修改時間 : 2007-5-16 10:37:0
訪問時間 : 2007-5-22 0:0:0
大小 : 253647 字節 247.719 KB
MD5 : 839f9b8601dd81f7892604c6d794b736
Dr.Web 報為Trojan.PWS.Wsgame
這個文件包中的文件本身并非病毒,只是被病毒利用了。
文件說明符 : C:/WINDOWS/system32/msdebug.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:10
修改時間 : 2007-5-18 7:46:16
訪問時間 : 2007-5-22 0:0:0
大小 : 19456 字節 19.0 KB
MD5 : 85bb9146c1a7906b51825d4849fc65b8
Kaspersky 報為Trojan.Win32.Agent.abf,瑞星 報為Trojan.Mnless.lvf
文件說明符 : C:/WINDOWS/system32/until.ttc
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-17 7:23:51
修改時間 : 2007-5-18 7:46:22
訪問時間 : 2007-5-22 0:0:0
大小 : 17739 字節 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件說明符 : C:/WINDOWS/system32/QQ.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:23
修改時間 : 2007-5-18 7:46:24
訪問時間 : 2007-5-22 0:0:0
大小 : 196608 字節 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b
Kaspersky 報為Backdoor.Win32.Delf.awy,瑞星 報為Trojan.Mnless.lpi
文件說明符 : C:/WINDOWS/system32/DOWN.exe
屬性 : A---
語言 : 中文(中國)
文件版本 : 1.00
說明 :
版權 :
備注 :
產品版本 : 1.00
產品名稱 : 工程1
公司名稱 : 2ndSpAcE
合法商標 :
內部名稱 : dl
源文件名 : dl.exe
創建時間 : 2007-5-16 10:14:27
修改時間 : 2007-5-18 7:46:26
訪問時間 : 2007-5-22 0:0:0
大小 : 11776 字節 11.512 KB
MD5 : b4643ccfcde7c2c57bf9f16701800a73
Kaspersky 報為Trojan-Downloader.Win32.VB.axv,Dr.Web 報為Trojan.DownLoader.10548,瑞星 報為Trojan.DL.VB.nut
文件說明符 : C:/WINDOWS/system32/MY.exe
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:59
修改時間 : 2007-5-18 15:26:48
訪問時間 : 2007-5-22 0:0:0
大小 : 22528 字節 22.0 KB
MD5 : 2c8aa101fb7dcb32ccda7acb02e08244
Kaspersky 報為Trojan-Proxy.Win32.Small.du,瑞星 報為Trojan.Proxy.Small.rh
文件說明符 : C:/WINDOWS/system32/RemoteDbg.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:14:0
修改時間 : 2007-5-18 15:26:48
訪問時間 : 2007-5-22 0:0:0
大小 : 18944 字節 18.512 KB
MD5 : c7d92cc4d8a1a03f60b458391eec28b4
文件說明符 : C:/WINDOWS/system32/windhcp.ocx
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-16 10:13:47
修改時間 : 2007-5-21 8:51:20
訪問時間 : 2007-5-22 0:0:0
大小 : 20480 字節 20.0 KB
MD5 : 051b0744460d524b88d9233546cb487b
Kaspersky 報為Trojan-Proxy.Win32.Small.du,瑞星 報為Trojan.PSW.OnlineGames.bkf
文件說明符 : C:/WINDOWS/system32/xpdhcp.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-17 7:23:2
修改時間 : 2007-5-21 8:51:42
訪問時間 : 2007-5-22 0:0:0
大小 : 18944 字節 18.512 KB
MD5 : 887c741b5edf554b3592e8662053a678
Kaspersky 報為Trojan-Proxy.Win32.Small.du,瑞星 報為Trojan.PSW.Agent.jxp
文件說明符 : C:/WINDOWS/system32/javavmj.dll
屬性 : A---
獲取文件版本信息大小失敗!
創建時間 : 2007-5-14 7:57:18
修改時間 : 2007-5-22 8:56:18
訪問時間 : 2007-5-22 0:0:0
大小 : 6656 字節 6.512 KB
MD5 : e57d77531398977f8453640c9abdfa1d
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.es,Dr.Web 報為Trojan.Inject.255,瑞星 報為Trojan.PSW.OnlineGames.bbj
文件說明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[2].exe
屬性 : ----
獲取文件版本信息大小失敗!
創建時間 : 2007-5-14 7:56:41
修改時間 : 2007-5-14 7:56:42
訪問時間 : 2007-5-22 0:0:0
大小 : 13824 字節 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f
Kaspersky 報為Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 報為Tojan.PWS.Gamania,瑞星 報為Trojan.PSW.RocOnline.bcp
文件說明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/CHD[1].exe
屬性 : ----
獲取文件版本信息大小失敗!
創建時間 : 2007-5-17 7:23:43
修改時間 : 2007-5-17 7:23:46
訪問時間 : 2007-5-22 0:0:0
大小 : 23040 字節 22.512 KB
MD5 : 3bca9403fa907000bc038af7a406c506
Kaspersky 報為Trojan-Proxy.Win32.Small.du,Dr.Web 報為 Trojan.Havedo,瑞星 報為Trojan.Proxy.Small.rf
文件說明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/WD[1].exe
屬性 : ----
獲取文件版本信息大小失敗!
創建時間 : 2007-5-17 7:23:47
修改時間 : 2007-5-17 7:23:50
訪問時間 : 2007-5-22 0:0:0
大小 : 70163 字節 68.531 KB
MD5 : 6293be30047f29324f96701fe1f76827
Kaspersky 報為Trojan.Win32.Agent.aac,Dr.Web 報為BackDoor.Pigeon.1604,瑞星 報為Trojan.Mnless.luq
c:/windows/system32/bd.dll這個文件因為時間的關系,沒有拿到。
然后用Dr.Web CureIt!查殺C盤的一些目錄,結果如下:
=================================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
---------------------------------
c:/windows/javavmj.exe infected with Trojan.PWS.Wsgame - deleted
c:/windows/system32/talszg.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
c:/windows/temp/avp.exe infected with Trojan.PWS.Wsgame - deleted
C:/Program Files/QQ2006/q.dll infected with BackDoor.Pigeon.46 - deleted
C:/WINDOWS/system32/javavmj.dll infected with Trojan.Inject.255 - will be cured after reboot
C:/WINDOWS/system32/TALSZG.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
C:/WINDOWS/temp/Kavs0.dll infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/LSASSS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/AVG[2].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/DATSC[2].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[2].exe infected with Trojan.PWS.Gamania - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/AVG[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/CHD[1].exe infected with Trojan.Havedo - deleted
>>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/DOWN[1].exe infected with Trojan.DownLoader.10548 - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/CFTMON[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/SOUND[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/MSTCS[1].exe infected with BackDoor.Twin - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/MH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/WD[1].exe infected with BackDoor.Pigeon.1604 - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/SVCHOTS[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ALP[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ALP[2].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/JH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ZT[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/ADOBESVC[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/MSTCS[1].exe probably infected with BACKDOOR.Trojan
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/MSTCS[2].exe probably infected with BACKDOOR.Trojan
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QJ[1].exe probably infected with MULDROP.Trojan
>>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QQ[1].exe/data001 infected with Trojan.Sniff
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QQ[1].exe - archive contains infected objects - moved
一些查不出來的用 bat_do.exe 的延時刪除功能來解決。
用HijackThis修復O4、O23等項目。
下載安裝瑞星卡卡安全助手修復O24等項目。
重啟電腦,接上網線測試,打開一些國內網站的網頁,檢查源代碼,沒有發現被加入包含病毒網址的代碼。
????????????再分享一下我老師大神的人工智能教程吧。零基礎!通俗易懂!風趣幽默!還帶黃段子!希望你也加入到我們人工智能的隊伍中來!https://blog.csdn.net/jiangjunshow
總結
以上是生活随笔為你收集整理的检查中ARP病毒的电脑,一堆网游盗号木马Trojan PSW RocOnline变种等的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 99. 激光炸弹 java 题解 (前缀
- 下一篇: 高效能人士的7个习惯--读书笔记分享