首页 > 其他分享 >遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2

遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2

时间:2022-11-23 18:04:54浏览次数:73  
标签:文件 Trojan 12 13 Win32 时间 2007 PSW MD5


遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2


 


endurer  原创
2007-08-06 第 1



还好没有 O20,处理起不用这么麻烦~


到 ​​http://purpleendurer.ys168.com​​ 下载 bat_do,FreeDLL,FileInfo。


先用FreeDLL卸载注入进程的 k118636446310.DAT等,开始几个可以顺利卸载,接着的AVPSrv.dll等会让explorer.exe出错退出,后来卸的一个,不记得是哪一个了,居然引起蓝屏:hard error,看来这东东是有驱动保护的~


强制重启到带网络连接的安全模式,用 FileInfo 提取文件信息,用 bat_do 打包备份,并延时删除,再生成去除属性、删除命令,执行命令,在下次启动时执行命令。


就是 O24 里的那个文件 4 没找到~


启动用卡卡安全助手,选择 [高级功能],在[插件管理及卸载] 里把 O24 项卸载掉,


在[系统启动项管理]里,右击 O4  和 O23 项对应的项目,从弹出的菜单里选择删除。


用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。


随便拣了几个文件回来,不想用Kaspersky和瑞星扫描,有相当多识别不出来,早知道就全部拿回来



文件说明符 : C:/WINDOWS/WinForm.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:29
访问时间 : 2007-8-6 13:36:40
大小 : 12800 字节 12.512 KB
MD5 : db27271f85143fbfe01f56769a59d17e


瑞星 报为 Trojan.PSW.Win32.OnlineGames.txe>>upx_c


 


主 题:

RE: WinForm.exe [KLAB-2569190]

  发件人:

"" <[email protected]>  

发送时间:2007.08.06 15:09


Hello,
WinForm.exe_ - Trojan-PSW.Win32.OnLineGames.acf
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.



文件说明符 : C:/WINDOWS/system32/WinForm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:33
访问时间 : 2007-8-6 13:22:58
大小 : 15872 字节 15.512 KB
MD5 : 9b17354d7e44f1b654cff8ec29da3a13



文件说明符 : C:/WINDOWS/cmdbcs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 12:43:5
访问时间 : 2007-8-6 13:37:43
大小 : 17408 字节 17.0 KB
MD5 : 5e102a7a0b3e44e40787b32bf1bee06a


 


文件说明符 : C:/WINDOWS/system32/cmdbcs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 13:14:56
访问时间 : 2007-8-6 13:23:13
大小 : 22528 字节 22.0 KB
MD5 : f30dbc1edad127cc302f0d6f7666eaeb


 


文件说明符 : C:/WINDOWS/MsIMMs32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:7
修改时间 : 2007-8-6 12:42:5
访问时间 : 2007-8-6 13:37:43
大小 : 14336 字节 14.0 KB
MD5 : 55b680df45eb4aecdc393eb6c95ee4c2


 


文件说明符 : C:/WINDOWS/system32/MsIMMs32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-27 22:2:20
修改时间 : 2007-8-6 13:14:56
访问时间 : 2007-8-6 13:23:19
大小 : 16896 字节 16.512 KB
MD5 : 71d434552efd32f89e4b3ff1797421c7


 


文件说明符 : C:/WINDOWS/mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:31
访问时间 : 2007-8-6 13:36:41
大小 : 26112 字节 25.512 KB
MD5 : c617a09a73f0cf9146d8819f60b16b56
Kaspersky 报为 Trojan-PSW.Win32.WOW.rs


 


文件说明符 : C:/WINDOWS/system32/mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:34
访问时间 : 2007-8-6 13:23:29
大小 : 17920 字节 17.512 KB
MD5 : f2164c9326e2b90400dfc9e829e6112e


Kaspersky 报为 Trojan-PSW.Win32.WOW.rs


 


主 题:

病毒上报邮件分析结果-流水单号:20070806143741461441

  发件人:

"" <[email protected]>  

发送时间:2007.08.06 16:30

尊敬的客户,您好!


    您的邮件已经收到,感谢您对瑞星的支持。



    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:


    1.文件名:mppds.dll


    病毒名:

Trojan.PSW.Win32.OnlineGames.ubt



    2.文件名:mppds.exe


    病毒名:

Trojan.PSW.Win32.OnlineGames.ubt

 


 


文件说明符 : C:/WINDOWS/AVPSrv.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:34
访问时间 : 2007-8-6 13:36:42
大小 : 14336 字节 14.0 KB
MD5 : 4c29283cd8ff6d533b4b5b4939b213fe


 


文件说明符 : C:/WINDOWS/system32/AVPSrv.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:36
访问时间 : 2007-8-6 13:23:35
大小 : 17408 字节 17.0 KB
MD5 : 4cf0e6ff35ff072f5412c21fc083f21a


 


文件说明符 : C:/WINDOWS/Kvsc3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:30
访问时间 : 2007-8-6 13:36:41
大小 : 13824 字节 13.512 KB
MD5 : a064a144ea8cb3740433a07d5896de72


 


文件说明符 : C:/WINDOWS/system32/Kvsc3.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:33
访问时间 : 2007-8-6 13:23:41
大小 : 16896 字节 16.512 KB
MD5 : 514f485d069fde7dce46c7349bc61599


 


主 题:

病毒上报邮件分析结果-流水单号:20070806143056621833

  发件人:

"" ​​[email protected]

发送时间:2007.08.06 16:48

尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:Kvsc3.dll
    病毒名:Trojan.PSW.Win32.Shanda.t

    2.文件名:Kvsc3.exe
    病毒名:Trojan.PSW.Win32.Shanda.t

    您所上报的病毒文件将在19.35.11版本中处理解决。



文件说明符 : C:/WINDOWS/system32/AF0D0E8E.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-5 21:22:1
修改时间 : 2007-8-6 12:40:11
访问时间 : 2007-8-6 13:24:9
大小 : 11888 字节 11.624 KB
MD5 : 69ad1bb495599dd9f4d94224a17cd7a3


 


文件说明符 : C:/WINDOWS/system32/A815A0F7.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 13:14:35
访问时间 : 2007-8-6 13:24:15
大小 : 57344 字节 56.0 KB
MD5 : 637ba6675530238bc566df7f663e78b7


Kaspersky 报为 Backdoor.Win32.Agent.ahj


 


主 题:

病毒上报邮件分析结果-流水单号:20070806141902404133

  发件人:

"" <[email protected]>  <script language="JavaScript" type="text/javascript"></script>

发送时间:2007.08.06 16:30

尊敬的客户,您好!


    您的邮件已经收到,感谢您对瑞星的支持。



    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:


    1.文件名:A815A0F7.DLL


    病毒名:

Trojan.IMMSG.Win32.TBMSG.jm



    您所上报的病毒文件将在19.35.10版本中处理解决。



文件说明符 : C:/WINDOWS/system32/6BD3F1DC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 13:14:35
访问时间 : 2007-8-6 13:24:30
大小 : 11278 字节 11.14 KB
MD5 : 67a1c0fe87bb4a941e48914ccb8f05d6



文件说明符 : C:/WINDOWS/system32/nslookupi.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:44:30
修改时间 : 2007-8-6 12:44:30
访问时间 : 2007-8-6 13:24:34
大小 : 25920 字节 25.320 KB
MD5 : cca1bc3ce545bd909d8e6bb7031564eb


Kaspersky 报为 Backdoor.Win32.Agent.alh,瑞星 报为 Trojan.MnLess.kks>>upack0.39


 


文件说明符 : C:/WINDOWS/system32/1F944EC3.EXE
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 12:43:11
访问时间 : 2007-8-6 13:24:50
大小 : 29859 字节 29.163 KB
MD5 : 39cd83e15ee48767c48c9afd8ab61ba8


Kaspersky 报为 Backdoor.Win32.Agent.ahj


 


主 题:

病毒上报邮件分析结果-流水单号:20070806140909527858

  发件人:

"" <[email protected]>   

发送时间:2007.08.06 16:30

尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:1F944EC3.EXE
    病毒名:Trojan.IMMSG.Win32.TBMSG.jm

    您所上报的病毒文件将在19.35.10版本中处理解决。


文件说明符 : C:/auto.exe
属性 : --H-
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:40:12
修改时间 : 2007-10-18 23:41:30
访问时间 : 2007-8-6 13:30:10
大小 : 18215 字节 17.807 KB
MD5 : f21c33d66bccde144a41ccabd32c2606


 


Kaspersky 报为 Virus.Win32.AutoRun.ec,瑞星 报为 Trojan.IMMSG.Win32.TBMSG.hh>>nspack


C:/WINDOWS/system32/542DE44.EXED:/auto.exeE:/auto.exeF:/auto.exe 与 C:/auto.exe 相同。



文件说明符 : C:/WINDOWS/system32/DRIVERS/bnhoenni.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 1.1.0.1015
说明 :
版权 :
备注 :
产品版本 : 1.1.0.1015
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2006-12-9 9:59:26
修改时间 : 2006-12-9 9:59:26
访问时间 : 2007-8-6 13:25:17
大小 : 8192 字节 8.0 KB
MD5 : 7ccad9cd0c8d7efbc37f0d4476ad55f7


 


主 题:

RE: bnhoenni.sys [KLAB-2569145]

  发件人:

"" <[email protected]>  

发送时间:2007.08.06 15:32


Hello,
bnhoenni.sys - Rootkit.Win32.Agent.do
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.


主 题:

病毒上报邮件分析结果-流水单号:20070806142515513036

  发件人:

"" ​​[email protected]

发送时间:2007.08.06 16:31


尊敬的客户,您好!
    您的邮件已经收到,感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
    1.文件名:bnhoenni.sys
    不是病毒



文件说明符 : C:/WINDOWS/System32/drivers/kdlepi.sys
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 1, 3
说明 : sys 应用程序
版权 : 版权所有 (C) 2006
备注 :
产品版本 : 1, 0, 1, 3
产品名称 :  sys 应用程序
公司名称 : 北京三七二一科技有限公司
合法商标 :
内部名称 : sys
源文件名 : sys.exe
创建时间 : 2007-6-24 21:36:45
修改时间 : 2007-6-24 21:36:45
访问时间 : 2007-8-6 13:25:28
大小 : 37376 字节 36.512 KB
MD5 : 756dff7356a64e5c70120884f8985b59


 


 


文件说明符 : C:/WINDOWS/system32/k11863644618.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:4
修改时间 : 2007-8-6 12:42:6
访问时间 : 2007-8-6 13:42:31
大小 : 9880 字节 9.664 KB
MD5 : f34f701f385db6983b9e5f67e335fdce


 


文件说明符 : C:/WINDOWS/system32/k11863644596.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:10
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:42:32
大小 : 10360 字节 10.120 KB
MD5 : 644c03db21c90ea2ce7f38eeaf70f490


 


文件说明符 : C:/WINDOWS/system32/k118636446511.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:5
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:42:32
大小 : 11256 字节 10.1016 KB
MD5 : 24d6e5ab8c4f8133a2b19beb4383e1d0


 


文件说明符 : C:/WINDOWS/system32/k118636446612.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:42:33
大小 : 9648 字节 9.432 KB
MD5 : 2a745e30ca881e1a7e4c333d0627d887


 


文件说明符 : C:/WINDOWS/system32/k118636446310.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 12:43:8
访问时间 : 2007-8-6 13:42:34
大小 : 9832 字节 9.616 KB
MD5 : cd4ca94d9573ecfa9f7fade9bae1a4e1



文件说明符 : C:/WINDOWS/system32/k118636446310.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:8
修改时间 : 2007-8-6 12:43:8
访问时间 : 2007-8-6 13:22:22
大小 : 6430 字节 6.286 KB
MD5 : 89091f4a4df7503f295dcb4e0ffd49f0


 


文件说明符 : C:/WINDOWS/system32/k118636446612.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:22:30
大小 : 6253 字节 6.109 KB
MD5 : 5bde6c52ae9f33f88f442e37e7c88f63


 


文件说明符 : C:/WINDOWS/system32/k118636446511.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:22:35
大小 : 7805 字节 7.637 KB
MD5 : b2a8ba4e2f2c5e718989ae315e971a21


 


文件说明符 : C:/WINDOWS/system32/k11863644596.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:12
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:22:43
大小 : 6898 字节 6.754 KB
MD5 : 3d0fd9546a48b665067a21412cd84012


 


文件说明符 : C:/WINDOWS/system32/k11863644596.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:12
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:22:48
大小 : 6898 字节 6.754 KB
MD5 : 3d0fd9546a48b665067a21412cd84012


 


文件说明符 : C:/WINDOWS/system32/k11863644618.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:6
修改时间 : 2007-8-6 12:42:6
访问时间 : 2007-8-6 13:22:53
大小 : 6465 字节 6.321 KB
MD5 : 088c2f743a8ce238a0e677025e830992 

标签:文件,Trojan,12,13,Win32,时间,2007,PSW,MD5
From: https://blog.51cto.com/endurer/5881554

相关文章

  • 文学论坛挂的马 Worm.Win32.QQPass.a 的简单分析
    文学论坛挂的马Worm.Win32.QQPass.a的简单分析endurer原创2007-09-02第1版这回挂的跟上回那个Worm.Win32.Agent.imh(见:文学论坛挂的马Worm.Win32.Agent.imh的简单......
  • 文学论坛挂的马变为 Worm.Win32.QQPass.a / 0.exe
    文学论坛挂的马变为Worm.Win32.QQPass.a/0.exeendurer原创2007-08-31第1版检查发现网页中包含代码:/---<iframesrc="hxxp://www.y*oyo*5*9***.com/m**6*8.htm?id=907"w......
  • 遭遇一堆 Trojan.PSW.Win32.OnlineGames / *door0.dll等3
    遭遇一堆Trojan.PSW.Win32.OnlineGames/*door0.dll等3endurer原创2007-08-30第1版再贴一下部分恶意程序文件的信息。仅就报的病毒名来看,Kaspersky还挺牛的。文件说明......
  • 遭遇一堆 Trojan.PSW.Win32.OnlineGames / *door0.dll等2
    遭遇一堆Trojan.PSW.Win32.OnlineGames/*door0.dll等2endurer原创2007-08-29第1版发一下Dr.WebCureIt!扫描的日志。BTW,Dr.WebCureIt!现在集成了简体中文语言包,运......
  • 遭遇一堆 Trojan.PSW.Win32.OnlineGames / *door0.dll等1
     遭遇一堆Trojan.PSW.Win32.OnlineGames/*door0.dll等1endurer原创2007-08-27第1版一位网友说他的电脑最近开机时金山毒霸出错,运行很慢,让偶通过QQ远程协助帮忙检查......
  • 小心传播Trojan-GameThief.Win32.OnLineGames.smoh的电子邮件
    小心传播Trojan-GameThief.Win32.OnLineGames.smoh的电子邮件 endurer原创2008-08-01第1版 邮件主题:拜托大家罗附件:~拜托大家罗~.arj 文件说明符:E:/test/~拜托大......
  • 遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames
    遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames等2endurer原创2008-03-20第1版(结:遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQP......
  • win32开发(定时器)
      要说除了鼠标、键盘消息之外,还有什么消息最重要。我想大概是就是定时器了。这定时器可长可短,如果是短定时器的话,那么就可以形成动画,记录成视频。如果是长定时器的话,那......
  • win32开发(图形绘制)
      在win32上面绘制图形其实是比较简单的。要想进行图形绘制,关键是找到设备上下文。就我目前所知道的,获得设备上下文主要有这么几种方式:一、根据BeginPaint获得设备上下......
  • win32开发(按键消息)
      对于一个应用来说,按键和鼠标都是基本的消息。当然,win32也需要独立处理按键消息和鼠标消息。今天,我们就讨论一下按键消息。一般认为,当键盘上一个key按下去之后,os会给ap......