装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2

装了卡巴电脑更卡?原来是Trojan-PSW.Win32.QQPass等盗号木马群作梗2

endurer 原创
2008-04-15 第1版

（续1）

开始修复~

到 ​​http://purpleendurer.ys168.com​​​下载bat_do和FileInfo并运行，到 ​​http://tool.kaka.com​​ 下载安装瑞星卡卡安全助手并运行，扫描出4个流氓软件，清除它们，接着切换到[高级功能]->]活动进程管理]，终止explorer.exe进程。

下面用 Alt+ Tab 键来切换我们所要用到的程序。

用 FileInfo 提取pe_xscan 中用红色标记的文件信息，用bat_do打包备份并延时删除，改文件名，再次 延时删除。

用卡卡安全肋手，切换到[高级功能]->]插件管理与卸载]，按文件名找到 O2、O24组的对应项并卸载；切换到[系统启动项管理]，在左边分别点击[服务项]和[驱动]，找到 O23组的对应项， 右击，从弹出的菜单中选择删除。

用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

按Ctrl + Alt + Esc 打开任务管理器，重启电脑，这下可以正常操作了。

卸载卡巴8，安装卡巴7~

部分病毒文件信息：

文件说明符 : C:/WINDOWS/system32/6to4ex.dll
属性 : --H-
获取文件版本信息大小失败!
创建时间 : 2004-8-17 20:0:0
修改时间 : 2004-8-17 20:0:0
访问时间 : 2008-4-12 0:0:0
大小 : 57856 字节 56.512 KB
MD5 : 828ad4412b56d3925f66abdcd6836604
SHA1: CFFBACB34CF531B59C9D19BDB1031D3F84174F3E
CRC32: 7dc33d89

瑞星报为Trojan.Win32.Undef.dsn

文件说明符 : C:/WINDOWS/system32/qqdoor0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-4-12 11:7:48
访问时间 : 2008-4-12 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : 59392204e1a73bb2d5f31fe8930f6b8f
SHA1: DDFF9335AC0B1F0F04BECC1F1BE12E4EA6C39881
CRC32: e47fe222

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.rxy，瑞星报为Trojan.PSW.Win32.QQHX.twg

文件说明符 : C:/WINDOWS/system32/qzdoor0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-4-12 11:8:2
访问时间 : 2008-4-12 0:0:0
大小 : 15360 字节 15.0 KB
MD5 : a43b1d9e22b84ad03b0e5355e84d42b7
SHA1: 8F4FB8398FA7D08BC800ED9F6A84710C17AB3756
CRC32: 3bd7773f

卡巴斯基报为 Trojan-PSW.Win32.QQPass.boj，瑞星报为Trojan.PSW.OnlineGames.bhv

文件说明符 : C:/WINDOWS/system32/qsdoor0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-4-12 11:8:54
访问时间 : 2008-4-12 0:0:0
大小 : 14336 字节 14.0 KB
MD5 : 4da29770039d320afedac704c13498bc
SHA1: CD22B294D5B6D7D9E2746090D282AA2469EF776E
CRC32: e8c23981

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.rxy，瑞星报为Trojan.PSW.OnlineGames.bhv

文件说明符 : C:/WINDOWS/system32/qhdoor1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-4-12 11:5:40
访问时间 : 2008-4-12 0:0:0
大小 : 23552 字节 23.0 KB
MD5 : 478636fef46d9d72d09536aa9607de29
SHA1: 50E13CD8CD66CF7B34B1B78D2816FFDCF6CCE011
CRC32: eb764963

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ure，瑞星报为Trojan.PSW.Win32.GameOL.mil

文件说明符 : C:/WINDOWS/Fonts/mndoor0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-4-12 11:5:44
访问时间 : 2008-4-12 0:0:0
大小 : 234496 字节 229.0 KB
MD5 : 333775a97b449d56529ff6b20c1e8298
SHA1: 01E11BC389ED9D5763B6F2C171EF65B011E2B9B7
CRC32: 510853c7

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aakv，瑞星报为Trojan.PSW.Win32.GamesOnline.sc

文件说明符 : C:/WINDOWS/Fonts/mndoor1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2007-6-13 21:21:56
访问时间 : 2008-4-12 0:0:0
大小 : 235008 字节 229.512 KB
MD5 : b6ae9d94af526d5e8ee3d44771cd291c
SHA1: 1A85704D59D3006BEF4B205F80A85BB0C244F6F0
CRC32: e22c9490

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.zst，瑞星报为Trojan.PSW.Win32.GamesOnline.sc

文件说明符 : C:/WINDOWS/system32/fhdoor1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-4-12 11:8:10
访问时间 : 2008-4-12 0:0:0
大小 : 14848 字节 14.512 KB
MD5 : 6d42d2f6b76998dee02f03ddebac7fcf
SHA1: 1CB1A7852B317F228E184A52AC47B4805AC147BC
CRC32: ee613eb9

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.rxy，瑞星报为Trojan.PSW.Win32.GameOL.msc

文件说明符 : C:/WINDOWS/system32/tlsosa1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-3-22 12:12:8
访问时间 : 2008-4-12 0:0:0
大小 : 0 字节
MD5 : d41d8cd98f00b204e9800998ecf8427e
SHA1: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
CRC32: a4deae1d

文件说明符 : C:/Program Files/Common Files/fjOs0r.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2008-3-22 8:36:54
修改时间 : 2008-4-12 11:40:40
访问时间 : 2008-4-12 0:0:0
大小 : 34339 字节 33.547 KB
MD5 : 8ae6ed8e5a653ea217afdfdcffae5729
SHA1: E2E1DB22BF1C00B676C4C39647F1C5F6494FB237
CRC32: bccc02e5

卡巴斯基报为 Trojan-PSW.Win32.Delf.apc，瑞星报为Trojan.PSW.Win32.GameOL.lxh

文件说明符 : C:/WINDOWS/system32/drivers/npf.sys
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : npf
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap Netgroup Packet Filter Driver
公司名称 : CACE Technologies
合法商标 :
内部名称 : NPF + TME
源文件名 : npf.sys
创建时间 : 2008-2-25 16:8:21
修改时间 : 2008-2-25 16:8:22
访问时间 : 2008-4-12 0:0:0
大小 : 32512 字节 31.768 KB
MD5 : d21fee8db254ba762656878168ac1db6
SHA1: A394B1BC33A3C678E4B6B3C55373468E6AFA7B28
CRC32: e1ea4f2c