endurer 原创
2007-05-22 第1版
今天终于有机会检查那台疑是中了ARP病毒的电脑
ARP病毒“吃里巴外”?
http://endurer.bokee.com/6277614.html
http://blog.csdn.net/Purpleendurer/archive/2007/05/16/1611620.aspx
http://blog.sina.com.cn/u/49926d91010008q6
把网线断开,用U盘拷来 pe_xscan.exe、HijackThis.exe,bat_do.exe、FreeDLL.exe、FileInfo.exe、Dr.Web CureIt! 等工具备用。
先用 pe_xscan 扫描 log并分析,发现可疑项:
pe_xscan 07-03-17 by Purple Endurer
2007-5-22 12:15:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
G:\tool\3.exe 2007-5-22 10:53:24
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\1mb0pe.l6v 2004-8-17 12:0:0 Microsoft(R) Windows(R) Operating System 5.1.2600.2180 Advanced Windows 32 Base API (C) Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? advapi32.dll advapi32.dll
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\cmdbs.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\mppds.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\winform.dll 2007-5-22 8:56:18
C:\WINDOWS\system32\javavmj.dll 2007-5-22 8:56:18
C:\WINDOWS\EXPLORER.EXE * 1524
C:\WINDOWS\system32\pdkpri.dll 2004-8-4 10:14:24
C:\WINDOWS\system32\wscsv.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\TALSZG.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\javavmj.dll 2007-5-22 8:56:18
C:\WINDOWS\system32\winform.dll 2007-5-22 8:56:18
C:\WINDOWS\system32\mppds.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\cmdbs.dll 2007-5-22 8:56:20
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll 2007-5-22 8:56:20
c:\windows\system32\bd.dll
C:\WINDOWS\system32\msacn.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\Program Files\Common Files\Real\Update_OB\realsched.exe * 644
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\RunDll32.exe * 1180
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\ctfmon.exe * 2080
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\scvhost.exe * 2240
C:\WINDOWS\system32\npp\ndisnpp.dll 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Network Monitor NDIS Network Packet Provider ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? NDISNPP.DLL NDISNPP.DLL
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\CONIME.EXE * 2356
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\RunDll32.exe * 3880
C:\WINDOWS\system32\TALSZG.dll 2004-8-17 12:0:0
C:\Program Files\QQ2006\q.dll 2007-5-17 7:23:50
C:\WINDOWS\system32\1.1 1601-1-2 7:8:43
C:\WINDOWS\system32\hreax.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wtrmm.dll 2004-8-17 12:0:0
C:\WINDOWS\system32\wgptl.dll 2004-8-17 12:0:0
O1 - (hosts文件的内容,太长,这里略了)
O4 - HKLM\..\Run: [javavmj] C:\WINDOWS\javavmj.exe
O4 - HKLM\..\Run: [winform] C:\WINDOWS\winform.exe
O4 - HKLM\..\Run: [cmdbs] C:\WINDOWS\cmdbs.exe
O4 - HKLM\..\Run: [mppds] C:\WINDOWS\mppds.exe
O4 - HKLM\..\Run: [upxdnd] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
O4 - HKLM\..\Run: [A] C:\WINDOWS\system32\rundll32.exe 1.1 s
O4 - HKLM\..\Run: [KVP] C:\WINDOWS\system32\drivers\svchost.exe
I:\autorun.inf
/,--
[AutoRun]
open=000.exe
,--/
O23 - 服务: MSDebugsvc (Win32 Debug Service) - C:\WINDOWS\system32rundll32.exe msdebug.dll,input(自动)
O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:\WINDOWS\system32rundll32.exe windhcp.ocx,input(自动)
O23 - 服务: WindowsDown (Windows Ins) - C:\WINDOWS\system32\servet.exe 2007-5-15 18:34:52(自动)
O23 - 服务: WindowsDown000 (Windows) - C:\WINDOWS\system32\000.exe 2007-5-16 10:13:30(自动)
O23 - 服务: WinXPDHCPsvc (WinXP DHCP Service) - C:\WINDOWS\system32rundll32.exe xpdhcp.dll,input(自动)
O24 - [] - {42A612A4-4334-4424-4234-42261A31A236} = C:\WINDOWS\system32\pdkpri.dll
O24 - [Microsoft Data Tools Query Designe] - {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} = C:\WINDOWS\system32\msacn.dll
O24 - [] - {B05AF49E-B05A-38D2-9E38-F49E38D27C16} = C:\WINDOWS\system32\TALSZG.dll
O25 - {AA312103-F04D-11cf-64CD-11EF5011CF20} = C:\WINDOWS\system32\nwizqjsj.exe
其中I:为U盘盘符,居然一接入电脑就中标了……
检查 c:\windows\system32,发现一大堆可疑文件。
C:\>dir c:\windows\system32 /od /a
驱动器 C 中的卷是 WINXP
卷的序列号是 2A1D-0905
c:\windows\system32 的目录
……(略)
2007-05-15 07:26 18,432 AVG.exe
2007-05-15 07:26 18,432 CFTMON.exe
2007-05-15 07:26 19,456 INETINF.exe
2007-05-15 07:27 21,504 LSASSS.exe
2007-05-15 07:27 17,408 SVCHOTS.exe
2007-05-15 07:27 7,020 ALP.exe
2007-05-15 07:27 12,288 SOUND.exe
2007-05-15 07:27 17,920 DATSC.exe
2007-05-15 07:27 25,357 MSTCS.exe
2007-05-15 07:27 13,312 ADOBESVC.exe
2007-05-15 18:34 16,619 servet.exe
2007-05-16 10:13 16,652 000.exe
2007-05-16 10:14 142 kupini.dll
2007-05-16 10:14 21,745 WanPacket.dll
2007-05-16 10:14 26,956 Packet.dll
2007-05-16 10:14 82,512 wpcap.dll
2007-05-16 10:37 253,647 SMSSS.exe
2007-05-17 07:23 42,929 1.1
2007-05-18 07:46 8,192 nwizqjsj.exe
2007-05-18 07:46 8,704 nwizqjsj.dll
2007-05-18 07:46 19,456 msdebug.dll
2007-05-18 0€D7:46 17,739 until.ttc
2007-05-18 07:46 196,608 QQ.exe
2007-05-18 07:46 11,776 DOWN.exe
2007-05-18 15:26 22,528 MY.exe
2007-05-18 15:26 18,944 RemoteDbg.dll
2007-05-21 08:50 2,206 wpa.dbl
2007-05-21 08:51 20,480 windhcp.ocx
2007-05-21 08:51 18,944 xpdhcp.dll
2007-05-22 08:56 12,288 winform.dll
2007-05-22 08:56 6,656 javavmj.dll
2007-05-22 08:56 12,288 cmdbs.dll
2007-05-22 08:56 14,848 mppds.dll
……(略)
用FileInfo 和 bat_do 提取部分文件信息并打包、删除文件。
文件说明符 : C:\WINDOWS\winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-21 8:51:14
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 7928aac5390bbc9eaeb6f31c1f52707f
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te,瑞星 报为Trojan.PSW.OnlineGames.blk
文件说明符 : C:\WINDOWS\system32\winform.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 2c984634f05b719f8613f6333ce41eea
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te,瑞星 报为Trojan.PSW.Onli€DneGames.bln
文件说明符 : C:\WINDOWS\cmdbs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-21 8:51:36
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 5f0bdc2268abc3cad0df489222c00595
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,-瑞星 报为Trojan.PSW.OnlineGames.awo
文件说明符 : C:\WINDOWS\system32\cmdbs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 67c3c6dc9a297ac4263b4a70d042a2c3
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,瑞星 报为Trojan.PSW.OnlineGames.awo
文件说明符 : C:\WINDOWS\mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:5
修改时间 : 2007-5-17 7:23:36
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 8634660dddbdec6e0ac307e97fdfecf5
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qy,瑞星 报为Trojan.PSW.OnlineGames.bju
文件说明符 : C:\WINDOWS\system32\mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 14848 字节 14.512 KB
MD5 : 7eed3cc661cdb28a9faf8f3578a72f28
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rt,瑞星 报为Trojan.PSW.OnlineGames.bhm
文件说明符 : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-16 10:14:8
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : f4ab45ae2671f6bd9d85d957e3a198d2
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh,瑞星 报为Trojan.PSW.OnlineGames.big
文件说明符 : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:7
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : e125ffbd86f5cb2844de79f09ddfedc0
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh,瑞星 报为Trojan.PSW.OnlineGames.big
文件说明符 : C:\WINDOWS\system32\wgptl.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:\WINDOWS\system32\wtrmm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:\WINDOWS\system32\hreax.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:\WINDOWS\system32\1.1
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : n��
修改时间 : n��
访问时间 : n��
大小 : 失败!
MD5 : d41d8cd98f00b204e9800998ecf8427e
Kaspersky 报为Trojan.Win32.Agent.aac,瑞星 报为Trojan.Mnless.luq
文件说明符 : C:\WINDOWS\system32\nwizqjsj.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:8
修改时间 : 2007-5-18 7:46:14
访问时间 : 2007-5-22 0:0:0
大小 : 8192 字节 8.0 KB
MD5 : 6921e0c6573d41ab4987c4c9bb58806b
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc,瑞星 报为Trojan.PSW.SunOnline.j
文件说明符 : C:\WINDOWS\system32\nwizqjsj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 8704 字节 8.512 KB
MD5 : 4318c362f4f100c62ee39e9a29aca23e
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc,瑞星 报为Trojan.PSW.SunOnline.j
文件说明符 : C:\WINDOWS\system32\TALSZG.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 76102 字节 74.326 KB
MD5 : 53cf7fef1871e74240f1d3b063872a67
Kaspersky 报为Trojan.Win32.Registrator.e,Dr.Web 报为BackDoor.Pigeon.1604
文件说明符 : C:\WINDOWS\system32\pdkpri.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2004-8-4 10:14:22
修改时间 : 2004-8-4 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 29696 字节 29.0 KB
MD5 : 20a6e67b102439252b48834ae7de0f70
Kaspersky 报为Trojan-Spy.Win32.Delf.uv,瑞星 报为Trojan.PSW.QQHX.bm
文件说明符 : C:\WINDOWS\system32\msacn.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:\WINDOWS\system32\servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38
文件说明符 : C:\WINDOWS\system32\drivers\scvhost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-22 8:56:22
访问时间 : 2007-5-22 0:0:0
大小 : 11081 字节 10.841 KB
MD5 : 059725b53772a916f11e27517edb6bf0
Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Spy.Agent.dcq
文件说明符 : C:\Program Files\QQ2006\q.dll
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2007-5-17 10:3:35
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 42929 字节 41.945 KB
MD5 : d1188636fe939be614aa1b453f7bd199
Dr.Web 报为 BackDoor.Pigeon.46
文件说明符 : C:\WINDOWS\system32\drivers\svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:25
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b
Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Mnless.lpi
文件说明符 : C:\WINDOWS\system32\SPOOLVS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:23
修改时间 : 2007-5-14 7:56:44
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.RocOnline.bcp
文件说明符 : C:\WINDOWS\system32\AVG.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:3
修改时间 : 2007-5-15 7:26:30
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : 48efdfaf7b0170a86a835b90f81bbf89
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.ban
文件说明符 : C:\WINDOWS\system32\CFTMON.exe(endurer注:不是CTFMON.exe!)
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:25
修改时间 : 2007-5-15 7:26:32
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : fcc4badc9fc99a3c0f8fe3b7ddb4fa10
文件说明符 : C:\WINDOWS\system32\INETINF.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:28
修改时间 : 2007-5-15 7:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : db6bd9e42944b340435c44db6fd2e9f7
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.sx,瑞星 报为Trojan.PSW.OnlineGames.bkm
文件说明符 : C:\WINDOWS\system32\LSASSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:4:57
修改时间 : 2007-5-15 7:27:2
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 4639d05843048b12735c2114f457db6c
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.fb,瑞星 报为Trojan.PSW.OnlineGames.bek
文件说明符 : C:\WINDOWS\system32\SOUND.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:12
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : ccc9dc92f988828c26de38d5a8115851
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.azv
文件说明符 : C:\WINDOWS\system32\SVCHOTS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:14
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : ad076e1844b66158a53068f63c18bd41
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb,瑞星 报为Trojan.PSW.OnlineGames.bgg
文件说明符 : C:\WINDOWS\system32\ALP.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:16
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 7020 字节 6.876 KB
MD5 : 524d69a1141341a61635312d67ad22d8
Kaspersky 报为Trojan-PSW.Win32.WOW.qp,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.bbb
文件说明符 : C:\WINDOWS\system32\DATSC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:19
修改时间 : 2007-5-15 7:27:18
访问时间 : 2007-5-22 0:0:0
大小 : 17920 字节 17.512 KB
MD5 : f1a40a9fa4ffcb376e9fbcf0a74b0b56
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.bbg
文件说明符 : C:\WINDOWS\system32\MSTCS.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.0
说明 : Microsoft Wisin Control
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wisin
源文件名 : Wisin.exe
创建时间 : 2007-5-10 18:5:27
修改时间 : 2007-5-15 7:27:22
访问时间 : 2007-5-22 0:0:0
大小 : 25357 字节 24.781 KB
MD5 : abf8b9249508a8a7d82bb1c0eca6f5a7
Kaspersky 报为Trojan-Downloader.Win32.Small.czl,Dr.Web 报为BackDoor.Twin,瑞星 报为Trojan.DL.Small.vcz
文件说明符 : C:\WINDOWS\system32\ADOBESVC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 7:27:23
修改时间 : 2007-5-15 7:27:24
访问时间 : 2007-5-22 0:0:0
大小 : 13312 字节 13.0 KB
MD5 : 129275b9e3055f0e2caf78371b6cb42b
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,瑞星 报为Trojan.PSW.OnlineGames.bbn
文件说明符 : C:\WINDOWS\system32\servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38
文件说明符 : C:\WINDOWS\system32\000.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:31
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-5-22 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7
AVP报为 Trojan-Downloader.Win32.Delf.bjy,瑞星报为 Trojan.DL.Small.vax
文件说明符 : C:\WINDOWS\system32\kupini.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:22
修改时间 : 2007-5-16 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 142 字节
MD5 : 75e7d1e28eeea0d55199851d09e904d1
文件说明符 : C:\WINDOWS\system32\wpcap.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : wpcap - Based on libpcap 0.9.3
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap high level library
公司名称 : CACE Technologies
合法商标 :
内部名称 : wpcap
源文件名 : wpcap.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 82512 字节 80.592 KB
MD5 : cc207b8798e1abfacbf33294ac795395
文件说明符 : C:\WINDOWS\system32\Packet.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : Packet
版权 : Copyright ? 1999-2005 NetGroup, Politecnico di Torino. Copyright ? 2005 CACE Technologies
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level packet library
公司名称 : CACE Technologies
合法商标 :
内部名称 : Packet
源文件名 : Packet.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 26956 字节 26.332 KB
MD5 : a04f24d9b37898ee9a738ac89f43aeef
文件说明符 : C:\WINDOWS\system32\WanPacket.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : WanPacket
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level NetMon wrapper library
公司名称 : CACE Technologies
合法商标 :
内部名称 : WanPacket
源文件名 : WanPacket.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 21745 字节 21.241 KB
MD5 : ca2b864f5c78393138530773af7a6873
文件说明符 : C:\WINDOWS\system32\SMSSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:32
修改时间 : 2007-5-16 10:37:0
访问时间 : 2007-5-22 0:0:0
大小 : 253647 字节 247.719 KB
MD5 : 839f9b8601dd81f7892604c6d794b736
Dr.Web 报为Trojan.PWS.Wsgame
这个文件包中的文件本身并非病毒,只是被病毒利用了。
文件说明符 : C:\WINDOWS\system32\msdebug.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 85bb9146c1a7906b51825d4849fc65b8
Kaspersky 报为Trojan.Win32.Agent.abf,瑞星 报为Trojan.Mnless.lvf
文件说明符 : C:\WINDOWS\system32\until.ttc
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:51
修改时间 : 2007-5-18 7:46:22
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807
文件说明符 : C:\WINDOWS\system32\QQ.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:23
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b
Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Mnless.lpi
文件说明符 : C:\WINDOWS\system32\DOWN.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 2ndSpAcE
合法商标 :
内部名称 : dl
源文件名 : dl.exe
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-18 7:46:26
访问时间 : 2007-5-22 0:0:0
大小 : 11776 字节 11.512 KB
MD5 : b4643ccfcde7c2c57bf9f16701800a73
Kaspersky 报为Trojan-Downloader.Win32.VB.axv,Dr.Web 报为Trojan.DownLoader.10548,瑞星 报为Trojan.DL.VB.nut
文件说明符 : C:\WINDOWS\system32\MY.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:59
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 22528 字节 22.0 KB
MD5 : 2c8aa101fb7dcb32ccda7acb02e08244
Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.Proxy.Small.rh
文件说明符 : C:\WINDOWS\system32\RemoteDbg.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:0
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : c7d92cc4d8a1a03f60b458391eec28b4
文件说明符 : C:\WINDOWS\system32\windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:47
修改时间 : 2007-5-21 8:51:20
访问时间 : 2007-5-22 0:0:0
大小 : 20480 字节 20.0 KB
MD5 : 051b0744460d524b88d9233546cb487b
Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.PSW.OnlineGames.bkf
文件说明符 : C:\WINDOWS\system32\xpdhcp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:2
修改时间 : 2007-5-21 8:51:42
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : 887c741b5edf554b3592e8662053a678
Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.PSW.Agent.jxp
文件说明符 : C:\WINDOWS\system32\javavmj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:57:18
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : e57d77531398977f8453640c9abdfa1d
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.Inject.255,瑞星 报为Trojan.PSW.OnlineGames.bbj
文件说明符 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\SPOOLVS[2].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:56:41
修改时间 : 2007-5-14 7:56:42
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f
Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 报为Tojan.PWS.Gamania,瑞星 报为Trojan.PSW.RocOnline.bcp
文件说明符 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\CHD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:43
修改时间 : 2007-5-17 7:23:46
访问时间 : 2007-5-22 0:0:0
大小 : 23040 字节 22.512 KB
MD5 : 3bca9403fa907000bc038af7a406c506
Kaspersky 报为Trojan-Proxy.Win32.Small.du,Dr.Web 报为 Trojan.Havedo,瑞星 报为Trojan.Proxy.Small.rf
文件说明符 : C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\WD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:47
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 70163 字节 68.531 KB
MD5 : 6293be30047f29324f96701fe1f76827
Kaspersky 报为Trojan.Win32.Agent.aac,Dr.Web 报为BackDoor.Pigeon.1604,瑞星 报为Trojan.Mnless.luq
c:\windows\system32\bd.dll这个文件因为时间的关系,没有拿到。
然后用Dr.Web CureIt!查杀C盘的一些目录,结果如下:
=================================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
---------------------------------
c:\windows\javavmj.exe infected with Trojan.PWS.Wsgame - deleted
c:\windows\system32\talszg.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
c:\windows\temp\avp.exe infected with Trojan.PWS.Wsgame - deleted
C:\Program Files\QQ2006\q.dll infected with BackDoor.Pigeon.46 - deleted
C:\WINDOWS\system32\javavmj.dll infected with Trojan.Inject.255 - will be cured after reboot
C:\WINDOWS\system32\TALSZG.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
C:\WINDOWS\temp\Kavs0.dll infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\LSASSS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\AVG[2].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\SPOOLVS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\DATSC[2].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\SPOOLVS[2].exe infected with Trojan.PWS.Gamania - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\AVG[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\CHD[1].exe infected with Trojan.Havedo - deleted
>>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\WVQ9YYLV\DOWN[1].exe infected with Trojan.DownLoader.10548 - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\CFTMON[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\SOUND[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\MSTCS[1].exe infected with BackDoor.Twin - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\MH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\KUG2OAW3\WD[1].exe infected with BackDoor.Pigeon.1604 - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\SVCHOTS[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\ALP[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\ALP[2].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\JH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\1EISTLGQ\ZT[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\ADOBESVC[1].exe infected with Trojan.PWS.Wsgame - deleted
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\MSTCS[1].exe probably infected with BACKDOOR.Trojan
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\MSTCS[2].exe probably infected with BACKDOOR.Trojan
>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\QJ[1].exe probably infected with MULDROP.Trojan
>>C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\QQ[1].exe\data001 infected with Trojan.Sniff
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\OGBOSEF1\QQ[1].exe - archive contains infected objects - moved
一些查不出来的用 bat_do.exe 的延时删除功能来解决。
用HijackThis修复O4、O23等项目。
下载安装瑞星卡卡安全助手修复O24等项目。
重启电脑,接上网线测试,打开一些国内网站的网页,检查源代码,没有发现被加入包含病毒网址的代码。
