auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2

auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2

endurer 原创 2008-06-30 第1版

到 ​​http://purpleendurer.ys168.com​​ 下载 FileInfo 和 bat_do。

用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息；用 bat_do 打包备份，延时删除，改所选文件名，再延时删除。

下载并安装 瑞星卡卡安全助手，切换到[高级功能]->[IE及系统修复]，修复O29，及 HKCU-Start Page = hxxp://www.258central.cn/ 和 HKLM/SHOWALL    值非1

切换到[高级功能]->[插件管理及卸载]，把 O2、O3 项卸载掉

切换到[高级功能]->[系统启动项管理]

在左边点击[登录项]，在右边找到 F2、O4 项对应的项目，右击，从弹出的菜单里选择删除。

在左边分别点击[服务项]和[驱动]，找到 O23组的对应项，右击，从弹出的菜单中选择删除。

在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。

用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

重启电脑~

这下电脑工作正常了。

文件说明符 : C:/auto.exe 属性 : --H- 数字签名:否 PE文件:是语言 : 英语(美国) 版权 : (C) Microsoft Corporation. All rights reserved. 产品名称 : Microsoft(R) Windows(R) Operating System 公司名称 : Microsoft Corporation 创建时间 : 2008-6-24 21:36:51 修改时间 : 2007-8-19 12:12:32 大小 : 18039 字节 17.631 KB MD5 : 226f2b376cbdae4f78687d37821165f2 SHA1: 4110C7A2A74A8820440584014C7801F035AED406 CRC32: cec46279

卡巴斯基报为 Backdoor.Win32.Agent.bgu，瑞星报为 Worm.Win32.Agent.ioh

文件说明符 : C:/WINDOWS/system32/12t9.dll 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2008-6-28 17:47:20 修改时间 : 2008-6-28 17:36:50 大小 : 159744 字节 156.0 KB MD5 : e735e440e5fba73c7b3d8c46b6e239ee SHA1: 0EC4BED65773E71EA1F8450EF72D003984A2580F CRC32: aed47e01

文件说明符 : C:/WINDOWS/system32/iujznmouzpoul.dll 属性 : A--- 数字签名:否 PE文件:是语言 : 中文(中国) 文件版本 : 1.0.0.0 说明 : Windows Time Update 产品版本 : 1.0.0.0 公司名称 : Microsoft Inc. 创建时间 : 2008-6-24 21:19:48 修改时间 : 2008-6-24 21:19:50 大小 : 228864 字节 223.512 KB MD5 : d190c3e5a414a24b3b521d5d0ac27923 SHA1: 22B0CCF54331298E33678CE09C46D7B2DFC734D2 CRC32: 4901f568

卡巴斯基报为：not-a-virus:AdWare.Win32.Ejik.ho，瑞星报为：AdWare.Win32.Agent.bwi

C:/WINDOWS/system32/ybxajyetgbrbf.dll 同 C:/WINDOWS/system32/iujznmouzpoul.dll

文件说明符 : C:/WINDOWS/system32/qzyejpgucs.dll 属性 : A--- 数字签名:否 PE文件:是语言 : 中文(中国) 文件版本 : 2.0.0.0 说明 : windows-update 产品版本 : 2.0.0.0 公司名称 : Nicrosoft Inc. 创建时间 : 2008-6-28 9:41:48 修改时间 : 2008-6-28 9:42:28 大小 : 228352 字节 223.0 KB MD5 : 15ef8b15d314f3f3e9a9270b2ea9b11a SHA1: 2D78A2A0156E30E0642C38931375879150BBEF7A CRC32: 6d0eb2ea

文件说明符 : C:/WINDOWS/system32/iffpcgxvyk.dll 同 C:/WINDOWS/system32/qzyejpgucs.dll

文件说明符 : C:/WINDOWS/system32/zbzcaoetif.dll 同 C:/WINDOWS/system32/qzyejpgucs.dll

文件说明符 : C:/WINDOWS/system32/hecowsaukc.dll 属性 : A--- 数字签名:否 PE文件:是语言 : 中文(中国) 文件版本 : 2.0.0.0 说明 : windows-update 产品版本 : 2.0.0.0 公司名称 : Nicrosoft Inc. 创建时间 : 2008-6-27 9:19:48 修改时间 : 2008-6-27 9:19:50 大小 : 228352 字节 223.0 KB MD5 : 70685b009a7fda2e08dff04bb5a97ead SHA1: 3B985C46A9218DE6B7048B6CC4F529EE1E88C019 CRC32: 0f65e045

卡巴斯基报为：not-a-virus:AdWare.Win32.Ejik.ht，瑞星报为：AdWare.Win32.Agent.bzc

C:/WINDOWS/system32/iwsidaybza.dll 同 C:/WINDOWS/system32/hecowsaukc.dll

文件说明符 : C:/WINDOWS/System32/A0380mon.exe 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2008-6-23 11:26:21 修改时间 : 2007-3-22 18:51:44 大小 : 16384 字节 16.0 KB MD5 : 17ebe441ae51028369418da8d11e85f7 SHA1: 7B7889DB0060072F4B3B38958BDA3057F0FC6D3F CRC32: 6382692d

文件说明符 : C:/WINDOWS/system32/drivers/b8u6bvx912.sys 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2004-8-17 12:0:0 修改时间 : 2004-8-17 12:0:0 大小 : 52576 字节 51.352 KB MD5 : b719b8c442f0c5e048819d7aee6fd309 SHA1: 0CE0D300EC7C016D07A9F3C7E9AD0B0617A24983 CRC32: 063af5b7

卡巴斯基报为 Trojan-Downloader.Win32.Hmir.don

文件说明符 : C:/WINDOWS/system32/6to4svc.dll 属性 : A--- 数字签名:Microsoft Corporation PE文件:是语言 : 英语(美国) 文件版本 : 5.1.2600.2975 (xpsp_sp2_gdr.060816-0059) 说明 : Service that offers IPv6 connectivity over an IPv4 network. 版权 : ? Microsoft Corporation. All rights reserved. 产品版本 : 5.1.2600.2975 产品名称 : Microsoft? Windows? Operating System 公司名称 : Microsoft Corporation 内部名称 : 6to4svc.dll 源文件名 : 6to4svc.dll 创建时间 : 2004-8-17 12:0:0 修改时间 : 2006-8-16 19:58:2 大小 : 100352 字节 98.0 KB MD5 : fe70b589ac507eeb313ba8dbaa8e4549 SHA1: A584D3FB9BDB338727B64A94C5FA5E6D7AE3A299 CRC32: f28e3684

文件说明符 : C:/WINDOWS/system32/12143225231.exe 属性 : A--- 数字签名:否 PE文件:是获取文件版本信息大小失败! 创建时间 : 2008-6-24 23:48:45 修改时间 : 2008-6-24 23:48:56 大小 : 130848 字节 127.800 KB MD5 : 54bb2748c670e04a9a3d62a1b3c76b2f SHA1: A9893BB8AB8F6C275C0751416AAB01768DE646A0 CRC32: f4aa9884

C:/WINDOWS/system32/12143261391.exe 同 C:/WINDOWS/system32/12143225231.exe

C:/WINDOWS/system32/12143297611.exe 同 C:/WINDOWS/system32/12143225231.exe

文件说明符 : C:/WINDOWS/system32/D0AFE1B2.DLL 属性 : A--- 数字签名:否 PE文件:是语言 : 英语(美国) 创建时间 : 2008-6-24 21:37:29 修改时间 : 2008-6-25 18:29:30 大小 : 114688 字节 112.0 KB MD5 : ee2ae6486b0256a77aac5de627dcbced SHA1: 7A5AF2DDAEB41DBC035A647948EE62CD9942A03D CRC32: 468dc0a5

瑞星报为：Trojan.Win32.Undef.ifo

文件说明符 : C:/WINDOWS/system32/B9735C84.exe 属性 : A--- 数字签名:否 PE文件:是语言 : 中文(中国) 文件版本 : 1.00 产品版本 : 1.00 产品名称 : AutoClick 内部名称 : AutoClick 源文件名 : AutoClick.exe 创建时间 : 2008-6-24 21:37:31 修改时间 : 2008-6-25 18:29:36 大小 : 15656 字节 15.296 KB MD5 : 0bed7f9c89f8737731d621e00697f8fa SHA1: C9C7A89112A7E93A157FC51301EFCB5333A6971D CRC32: 46b48552

卡巴斯基报为 Worm.Win32.Downloader.qm，瑞星报为 Trojan.Clicker.Win32.VB.xb

文件说明符 : C:/WINDOWS/system32/divttstmdo.dll 属性 : A--- 数字签名:否 PE文件:是语言 : 中文(中国) 文件版本 : 1.0.0.0 说明 : Windows Time Update 产品版本 : 1.0.0.0 公司名称 : Microsoft Inc. 创建时间 : 2008-6-26 11:56:11 修改时间 : 2008-6-26 11:56:14 大小 : 228352 字节 223.0 KB MD5 : 69c57903b5281746355d6db71da26550 SHA1: 1036076353E235EBC6653D52EFFCF64AB1BEB6AC CRC32: f24fdec4

卡巴斯基报为 not-a-virus:AdWare.Win32.Ejik.hr，瑞星报为 AdWare.Win32.Agent.bwi

C:/WINDOWS/system32/bqpjudiyoy.dll 同 C:/WINDOWS/system32/divttstmdo.dll

文件说明符 : C:/WINDOWS/system32/tytfclqmdi.dll 属性 : A--- 数字签名:否 PE文件:是语言 : 中文(中国) 文件版本 : 2.0.0.0 说明 : windows-update 产品版本 : 2.0.0.0 公司名称 : Nicrosoft Inc. 创建时间 : 2008-6-26 21:8:37 修改时间 : 2008-6-26 21:9:12 大小 : 228352 字节 223.0 KB MD5 : e35e48a68805d8ee1184246bff89b03c SHA1: 028AAA2B0407C060774C38ADB5867E5C64255C39 CRC32: d104ad6e

卡巴斯基报为 not-a-virus:AdWare.Win32.Ejik.ht，瑞星报为：AdWare.Win32.Agent.bzc

C:/WINDOWS/system32/tnomixllah.dll 同 C:/WINDOWS/system32/tytfclqmdi.dll