遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2
endurer 原创
2007-08-06 第
1版
还好没有 O20,处理起不用这么麻烦~
到 http://purpleendurer.ys168.com 下载 bat_do,FreeDLL,FileInfo。
先用FreeDLL卸载注入进程的 k118636446310.DAT等,开始几个可以顺利卸载,接着的AVPSrv.dll等会让explorer.exe出错退出,后来卸的一个,不记得是哪一个了,居然引起蓝屏:hard error,看来这东东是有驱动保护的~
强制重启到带网络连接的安全模式,用 FileInfo 提取文件信息,用 bat_do 打包备份,并延时删除,再生成去除属性、删除命令,执行命令,在下次启动时执行命令。
就是 O24 里的那个文件 4 没找到~
启动用卡卡安全助手,选择 [高级功能],在[插件管理及卸载] 里把 O24 项卸载掉,
在[系统启动项管理]里,右击 O4 和 O23 项对应的项目,从弹出的菜单里选择删除。
用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。
随便拣了几个文件回来,不想用Kaspersky和瑞星扫描,有相当多识别不出来,早知道就全部拿回来
文件说明符 :
C:/WINDOWS/WinForm.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:29
访问时间 : 2007-8-6 13:36:40
大小 : 12800 字节 12.512 KB
MD5 : db27271f85143fbfe01f56769a59d17e
瑞星 报为 Trojan.PSW.Win32.OnlineGames.txe>>upx_c
主 题: | RE: WinForm.exe [KLAB-2569190] | ||
发件人: | "" <[email protected]> | 发送时间:2007.08.06 15:09 |
Hello,
WinForm.exe_ -
Trojan-PSW.Win32.OnLineGames.acf
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.
文件说明符 :
C:/WINDOWS/system32/WinForm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:33
访问时间 : 2007-8-6 13:22:58
大小 : 15872 字节 15.512 KB
MD5 : 9b17354d7e44f1b654cff8ec29da3a13
文件说明符 :
C:/WINDOWS/cmdbcs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 12:43:5
访问时间 : 2007-8-6 13:37:43
大小 : 17408 字节 17.0 KB
MD5 : 5e102a7a0b3e44e40787b32bf1bee06a
文件说明符 :
C:/WINDOWS/system32/cmdbcs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 13:14:56
访问时间 : 2007-8-6 13:23:13
大小 : 22528 字节 22.0 KB
MD5 : f30dbc1edad127cc302f0d6f7666eaeb
文件说明符 :
C:/WINDOWS/MsIMMs32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:7
修改时间 : 2007-8-6 12:42:5
访问时间 : 2007-8-6 13:37:43
大小 : 14336 字节 14.0 KB
MD5 : 55b680df45eb4aecdc393eb6c95ee4c2
文件说明符 :
C:/WINDOWS/system32/MsIMMs32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-27 22:2:20
修改时间 : 2007-8-6 13:14:56
访问时间 : 2007-8-6 13:23:19
大小 : 16896 字节 16.512 KB
MD5 : 71d434552efd32f89e4b3ff1797421c7
文件说明符 :
C:/WINDOWS/mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:31
访问时间 : 2007-8-6 13:36:41
大小 : 26112 字节 25.512 KB
MD5 : c617a09a73f0cf9146d8819f60b16b56
Kaspersky 报为
Trojan-PSW.Win32.WOW.rs
文件说明符 :
C:/WINDOWS/system32/mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:34
访问时间 : 2007-8-6 13:23:29
大小 : 17920 字节 17.512 KB
MD5 : f2164c9326e2b90400dfc9e829e6112e
Kaspersky 报为 Trojan-PSW.Win32.WOW.rs
主 题: | 病毒上报邮件分析结果-流水单号:20070806143741461441 | ||
发件人: | "" <[email protected]> | 发送时间:2007.08.06 16:30 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:mppds.dll
病毒名:
Trojan.PSW.Win32.OnlineGames.ubt
2.文件名:mppds.exe
病毒名:
Trojan.PSW.Win32.OnlineGames.ubt
文件说明符 :
C:/WINDOWS/AVPSrv.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:34
访问时间 : 2007-8-6 13:36:42
大小 : 14336 字节 14.0 KB
MD5 : 4c29283cd8ff6d533b4b5b4939b213fe
文件说明符 :
C:/WINDOWS/system32/AVPSrv.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:36
访问时间 : 2007-8-6 13:23:35
大小 : 17408 字节 17.0 KB
MD5 : 4cf0e6ff35ff072f5412c21fc083f21a
文件说明符 :
C:/WINDOWS/Kvsc3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:30
访问时间 : 2007-8-6 13:36:41
大小 : 13824 字节 13.512 KB
MD5 : a064a144ea8cb3740433a07d5896de72
文件说明符 :
C:/WINDOWS/system32/Kvsc3.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:33
访问时间 : 2007-8-6 13:23:41
大小 : 16896 字节 16.512 KB
MD5 : 514f485d069fde7dce46c7349bc61599
主 题: | 病毒上报邮件分析结果-流水单号:20070806143056621833 | ||
发件人: | "" [email protected] | 发送时间:2007.08.06 16:48 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:Kvsc3.dll
病毒名:Trojan.PSW.Win32.Shanda.t
2.文件名:Kvsc3.exe
病毒名:Trojan.PSW.Win32.Shanda.t
您所上报的病毒文件将在19.35.11版本中处理解决。
文件说明符 :
C:/WINDOWS/system32/AF0D0E8E.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-5 21:22:1
修改时间 : 2007-8-6 12:40:11
访问时间 : 2007-8-6 13:24:9
大小 : 11888 字节 11.624 KB
MD5 : 69ad1bb495599dd9f4d94224a17cd7a3
文件说明符 :
C:/WINDOWS/system32/A815A0F7.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 13:14:35
访问时间 : 2007-8-6 13:24:15
大小 : 57344 字节 56.0 KB
MD5 : 637ba6675530238bc566df7f663e78b7
Kaspersky 报为 Backdoor.Win32.Agent.ahj
主 题: | 病毒上报邮件分析结果-流水单号:20070806141902404133 | ||
发件人: | "" <[email protected]> <script language="JavaScript" type="text/javascript"></script> | 发送时间:2007.08.06 16:30 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:A815A0F7.DLL
病毒名:
Trojan.IMMSG.Win32.TBMSG.jm
您所上报的病毒文件将在19.35.10版本中处理解决。
文件说明符 :
C:/WINDOWS/system32/6BD3F1DC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 13:14:35
访问时间 : 2007-8-6 13:24:30
大小 : 11278 字节 11.14 KB
MD5 : 67a1c0fe87bb4a941e48914ccb8f05d6
文件说明符 :
C:/WINDOWS/system32/nslookupi.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:44:30
修改时间 : 2007-8-6 12:44:30
访问时间 : 2007-8-6 13:24:34
大小 : 25920 字节 25.320 KB
MD5 : cca1bc3ce545bd909d8e6bb7031564eb
Kaspersky 报为 Backdoor.Win32.Agent.alh,瑞星 报为 Trojan.MnLess.kks>>upack0.39
文件说明符 :
C:/WINDOWS/system32/1F944EC3.EXE
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 12:43:11
访问时间 : 2007-8-6 13:24:50
大小 : 29859 字节 29.163 KB
MD5 : 39cd83e15ee48767c48c9afd8ab61ba8
Kaspersky 报为 Backdoor.Win32.Agent.ahj
主 题: | 病毒上报邮件分析结果-流水单号:20070806140909527858 | ||
发件人: | "" <[email protected]> | 发送时间:2007.08.06 16:30 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:1F944EC3.EXE
病毒名:Trojan.IMMSG.Win32.TBMSG.jm
您所上报的病毒文件将在19.35.10版本中处理解决。
文件说明符 :
C:/auto.exe
属性 : --H-
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:40:12
修改时间 : 2007-10-18 23:41:30
访问时间 : 2007-8-6 13:30:10
大小 : 18215 字节 17.807 KB
MD5 : f21c33d66bccde144a41ccabd32c2606
Kaspersky 报为 Virus.Win32.AutoRun.ec,瑞星 报为 Trojan.IMMSG.Win32.TBMSG.hh>>nspack
C:/WINDOWS/system32/542DE44.EXE、 D:/auto.exe、 E:/auto.exe、 F:/auto.exe 与 C:/auto.exe 相同。
文件说明符 :
C:/WINDOWS/system32/DRIVERS/bnhoenni.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 1.1.0.1015
说明 :
版权 :
备注 :
产品版本 : 1.1.0.1015
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2006-12-9 9:59:26
修改时间 : 2006-12-9 9:59:26
访问时间 : 2007-8-6 13:25:17
大小 : 8192 字节 8.0 KB
MD5 : 7ccad9cd0c8d7efbc37f0d4476ad55f7
主 题: | RE: bnhoenni.sys [KLAB-2569145] | ||
发件人: | "" <[email protected]> | 发送时间:2007.08.06 15:32 |
Hello,
bnhoenni.sys -
Rootkit.Win32.Agent.do
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.
主 题: | 病毒上报邮件分析结果-流水单号:20070806142515513036 | ||
发件人: | "" [email protected] | 发送时间:2007.08.06 16:31 |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:bnhoenni.sys
不是病毒
文件说明符 :
C:/WINDOWS/System32/drivers/kdlepi.sys
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 1, 3
说明 : sys 应用程序
版权 : 版权所有 (C) 2006
备注 :
产品版本 : 1, 0, 1, 3
产品名称 : sys 应用程序
公司名称 : 北京三七二一科技有限公司
合法商标 :
内部名称 : sys
源文件名 : sys.exe
创建时间 : 2007-6-24 21:36:45
修改时间 : 2007-6-24 21:36:45
访问时间 : 2007-8-6 13:25:28
大小 : 37376 字节 36.512 KB
MD5 : 756dff7356a64e5c70120884f8985b59
文件说明符 :
C:/WINDOWS/system32/k11863644618.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:4
修改时间 : 2007-8-6 12:42:6
访问时间 : 2007-8-6 13:42:31
大小 : 9880 字节 9.664 KB
MD5 : f34f701f385db6983b9e5f67e335fdce
文件说明符 :
C:/WINDOWS/system32/k11863644596.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:10
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:42:32
大小 : 10360 字节 10.120 KB
MD5 : 644c03db21c90ea2ce7f38eeaf70f490
文件说明符 :
C:/WINDOWS/system32/k118636446511.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:5
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:42:32
大小 : 11256 字节 10.1016 KB
MD5 : 24d6e5ab8c4f8133a2b19beb4383e1d0
文件说明符 :
C:/WINDOWS/system32/k118636446612.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:42:33
大小 : 9648 字节 9.432 KB
MD5 : 2a745e30ca881e1a7e4c333d0627d887
文件说明符 :
C:/WINDOWS/system32/k118636446310.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 12:43:8
访问时间 : 2007-8-6 13:42:34
大小 : 9832 字节 9.616 KB
MD5 : cd4ca94d9573ecfa9f7fade9bae1a4e1
文件说明符 :
C:/WINDOWS/system32/k118636446310.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:8
修改时间 : 2007-8-6 12:43:8
访问时间 : 2007-8-6 13:22:22
大小 : 6430 字节 6.286 KB
MD5 : 89091f4a4df7503f295dcb4e0ffd49f0
文件说明符 :
C:/WINDOWS/system32/k118636446612.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:22:30
大小 : 6253 字节 6.109 KB
MD5 : 5bde6c52ae9f33f88f442e37e7c88f63
文件说明符 :
C:/WINDOWS/system32/k118636446511.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:22:35
大小 : 7805 字节 7.637 KB
MD5 : b2a8ba4e2f2c5e718989ae315e971a21
文件说明符 :
C:/WINDOWS/system32/k11863644596.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:12
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:22:43
大小 : 6898 字节 6.754 KB
MD5 : 3d0fd9546a48b665067a21412cd84012
文件说明符 :
C:/WINDOWS/system32/k11863644596.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:12
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:22:48
大小 : 6898 字节 6.754 KB
MD5 : 3d0fd9546a48b665067a21412cd84012
文件说明符 :
C:/WINDOWS/system32/k11863644618.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:6
修改时间 : 2007-8-6 12:42:6
访问时间 : 2007-8-6 13:22:53
大小 : 6465 字节 6.321 KB
MD5 : 088c2f743a8ce238a0e677025e830992