遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2

遭遇Trojan-PSW.Win32.WOW,Trojan.PSW.Win32.OnlineGames,Trojan.MnLess.kks等2

endurer  原创
2007-08-06 第 1版

还好没有 O20，处理起不用这么麻烦~

到 ​​http://purpleendurer.ys168.com​​ 下载 bat_do，FreeDLL，FileInfo。

先用FreeDLL卸载注入进程的 k118636446310.DAT等，开始几个可以顺利卸载，接着的AVPSrv.dll等会让explorer.exe出错退出，后来卸的一个，不记得是哪一个了，居然引起蓝屏：hard error，看来这东东是有驱动保护的~

强制重启到带网络连接的安全模式，用 FileInfo 提取文件信息，用 bat_do 打包备份，并延时删除，再生成去除属性、删除命令，执行命令，在下次启动时执行命令。

就是 O24 里的那个文件 4 没找到~

启动用卡卡安全助手，选择 [高级功能]，在[插件管理及卸载] 里把 O24 项卸载掉，

在[系统启动项管理]里，右击 O4  和 O23 项对应的项目，从弹出的菜单里选择删除。

用 WinRAR 删除 Windows临时文件夹，IE临时文件夹，d:/windows/prefetch 中可以删除的文件。

随便拣了几个文件回来，不想用Kaspersky和瑞星扫描，有相当多识别不出来，早知道就全部拿回来

文件说明符 : C:/WINDOWS/WinForm.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:29
访问时间 : 2007-8-6 13:36:40
大小 : 12800 字节 12.512 KB
MD5 : db27271f85143fbfe01f56769a59d17e

瑞星 报为 Trojan.PSW.Win32.OnlineGames.txe＞＞upx_c

Hello,
WinForm.exe_ - Trojan-PSW.Win32.OnLineGames.acf
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.

文件说明符 : C:/WINDOWS/system32/WinForm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:33
访问时间 : 2007-8-6 13:22:58
大小 : 15872 字节 15.512 KB
MD5 : 9b17354d7e44f1b654cff8ec29da3a13

文件说明符 : C:/WINDOWS/cmdbcs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 12:43:5
访问时间 : 2007-8-6 13:37:43
大小 : 17408 字节 17.0 KB
MD5 : 5e102a7a0b3e44e40787b32bf1bee06a

文件说明符 : C:/WINDOWS/system32/cmdbcs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 13:14:56
访问时间 : 2007-8-6 13:23:13
大小 : 22528 字节 22.0 KB
MD5 : f30dbc1edad127cc302f0d6f7666eaeb

文件说明符 : C:/WINDOWS/MsIMMs32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:7
修改时间 : 2007-8-6 12:42:5
访问时间 : 2007-8-6 13:37:43
大小 : 14336 字节 14.0 KB
MD5 : 55b680df45eb4aecdc393eb6c95ee4c2

文件说明符 : C:/WINDOWS/system32/MsIMMs32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-7-27 22:2:20
修改时间 : 2007-8-6 13:14:56
访问时间 : 2007-8-6 13:23:19
大小 : 16896 字节 16.512 KB
MD5 : 71d434552efd32f89e4b3ff1797421c7

文件说明符 : C:/WINDOWS/mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:31
访问时间 : 2007-8-6 13:36:41
大小 : 26112 字节 25.512 KB
MD5 : c617a09a73f0cf9146d8819f60b16b56
Kaspersky 报为 Trojan-PSW.Win32.WOW.rs

文件说明符 : C:/WINDOWS/system32/mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:34
访问时间 : 2007-8-6 13:23:29
大小 : 17920 字节 17.512 KB
MD5 : f2164c9326e2b90400dfc9e829e6112e

Kaspersky 报为 Trojan-PSW.Win32.WOW.rs

尊敬的客户，您好！

    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

    1.文件名：mppds.dll

    病毒名：

Trojan.PSW.Win32.OnlineGames.ubt

    2.文件名：mppds.exe

    病毒名：

Trojan.PSW.Win32.OnlineGames.ubt

文件说明符 : C:/WINDOWS/AVPSrv.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:34
访问时间 : 2007-8-6 13:36:42
大小 : 14336 字节 14.0 KB
MD5 : 4c29283cd8ff6d533b4b5b4939b213fe

文件说明符 : C:/WINDOWS/system32/AVPSrv.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:1
修改时间 : 2007-8-6 13:15:36
访问时间 : 2007-8-6 13:23:35
大小 : 17408 字节 17.0 KB
MD5 : 4cf0e6ff35ff072f5412c21fc083f21a

文件说明符 : C:/WINDOWS/Kvsc3.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:30
访问时间 : 2007-8-6 13:36:41
大小 : 13824 字节 13.512 KB
MD5 : a064a144ea8cb3740433a07d5896de72

文件说明符 : C:/WINDOWS/system32/Kvsc3.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:41:0
修改时间 : 2007-8-6 13:15:33
访问时间 : 2007-8-6 13:23:41
大小 : 16896 字节 16.512 KB
MD5 : 514f485d069fde7dce46c7349bc61599

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：Kvsc3.dll
    病毒名：Trojan.PSW.Win32.Shanda.t

    2.文件名：Kvsc3.exe
    病毒名：Trojan.PSW.Win32.Shanda.t

    您所上报的病毒文件将在19.35.11版本中处理解决。

文件说明符 : C:/WINDOWS/system32/AF0D0E8E.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-5 21:22:1
修改时间 : 2007-8-6 12:40:11
访问时间 : 2007-8-6 13:24:9
大小 : 11888 字节 11.624 KB
MD5 : 69ad1bb495599dd9f4d94224a17cd7a3

文件说明符 : C:/WINDOWS/system32/A815A0F7.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 13:14:35
访问时间 : 2007-8-6 13:24:15
大小 : 57344 字节 56.0 KB
MD5 : 637ba6675530238bc566df7f663e78b7

Kaspersky 报为 Backdoor.Win32.Agent.ahj

尊敬的客户，您好！

    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：

    1.文件名：A815A0F7.DLL

    病毒名：

Trojan.IMMSG.Win32.TBMSG.jm

    您所上报的病毒文件将在19.35.10版本中处理解决。

文件说明符 : C:/WINDOWS/system32/6BD3F1DC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 13:14:35
访问时间 : 2007-8-6 13:24:30
大小 : 11278 字节 11.14 KB
MD5 : 67a1c0fe87bb4a941e48914ccb8f05d6

文件说明符 : C:/WINDOWS/system32/nslookupi.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:44:30
修改时间 : 2007-8-6 12:44:30
访问时间 : 2007-8-6 13:24:34
大小 : 25920 字节 25.320 KB
MD5 : cca1bc3ce545bd909d8e6bb7031564eb

Kaspersky 报为 Backdoor.Win32.Agent.alh，瑞星 报为 Trojan.MnLess.kks＞＞upack0.39

文件说明符 : C:/WINDOWS/system32/1F944EC3.EXE
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:43:12
修改时间 : 2007-8-6 12:43:11
访问时间 : 2007-8-6 13:24:50
大小 : 29859 字节 29.163 KB
MD5 : 39cd83e15ee48767c48c9afd8ab61ba8

Kaspersky 报为 Backdoor.Win32.Agent.ahj

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：1F944EC3.EXE
    病毒名：Trojan.IMMSG.Win32.TBMSG.jm

    您所上报的病毒文件将在19.35.10版本中处理解决。

文件说明符 : C:/auto.exe
属性 : --H-
语言 : 英语(美国)
文件版本 :
说明 :
版权 : (C) Microsoft Corporation. All rights reserved.
备注 :
产品版本 :
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-8-6 12:40:12
修改时间 : 2007-10-18 23:41:30
访问时间 : 2007-8-6 13:30:10
大小 : 18215 字节 17.807 KB
MD5 : f21c33d66bccde144a41ccabd32c2606

Kaspersky 报为 Virus.Win32.AutoRun.ec，瑞星 报为 Trojan.IMMSG.Win32.TBMSG.hh＞＞nspack

C:/WINDOWS/system32/542DE44.EXE、 D:/auto.exe、 E:/auto.exe、 F:/auto.exe 与 C:/auto.exe 相同。

文件说明符 : C:/WINDOWS/system32/DRIVERS/bnhoenni.sys
属性 : A---
语言 : 英语(美国)
文件版本 : 1.1.0.1015
说明 :
版权 :
备注 :
产品版本 : 1.1.0.1015
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2006-12-9 9:59:26
修改时间 : 2006-12-9 9:59:26
访问时间 : 2007-8-6 13:25:17
大小 : 8192 字节 8.0 KB
MD5 : 7ccad9cd0c8d7efbc37f0d4476ad55f7

Hello,
bnhoenni.sys - Rootkit.Win32.Agent.do
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Alexander Romanenko
Virus analyst, Kaspersky Lab.

尊敬的客户，您好！
    您的邮件已经收到，感谢您对瑞星的支持。

    我们已经详细分析过您的问题和文件，以下是您上传的文件的分析结果：
    1.文件名：bnhoenni.sys
    不是病毒

文件说明符 : C:/WINDOWS/System32/drivers/kdlepi.sys
属性 : A---
语言 : 中文(中国)
文件版本 : 1, 0, 1, 3
说明 : sys 应用程序
版权 : 版权所有 (C) 2006
备注 :
产品版本 : 1, 0, 1, 3
产品名称 :  sys 应用程序
公司名称 : 北京三七二一科技有限公司
合法商标 :
内部名称 : sys
源文件名 : sys.exe
创建时间 : 2007-6-24 21:36:45
修改时间 : 2007-6-24 21:36:45
访问时间 : 2007-8-6 13:25:28
大小 : 37376 字节 36.512 KB
MD5 : 756dff7356a64e5c70120884f8985b59

文件说明符 : C:/WINDOWS/system32/k11863644618.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:4
修改时间 : 2007-8-6 12:42:6
访问时间 : 2007-8-6 13:42:31
大小 : 9880 字节 9.664 KB
MD5 : f34f701f385db6983b9e5f67e335fdce

文件说明符 : C:/WINDOWS/system32/k11863644596.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:10
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:42:32
大小 : 10360 字节 10.120 KB
MD5 : 644c03db21c90ea2ce7f38eeaf70f490

文件说明符 : C:/WINDOWS/system32/k118636446511.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:5
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:42:32
大小 : 11256 字节 10.1016 KB
MD5 : 24d6e5ab8c4f8133a2b19beb4383e1d0

文件说明符 : C:/WINDOWS/system32/k118636446612.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:42:33
大小 : 9648 字节 9.432 KB
MD5 : 2a745e30ca881e1a7e4c333d0627d887

文件说明符 : C:/WINDOWS/system32/k118636446310.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:7
修改时间 : 2007-8-6 12:43:8
访问时间 : 2007-8-6 13:42:34
大小 : 9832 字节 9.616 KB
MD5 : cd4ca94d9573ecfa9f7fade9bae1a4e1

文件说明符 : C:/WINDOWS/system32/k118636446310.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:8
修改时间 : 2007-8-6 12:43:8
访问时间 : 2007-8-6 13:22:22
大小 : 6430 字节 6.286 KB
MD5 : 89091f4a4df7503f295dcb4e0ffd49f0

文件说明符 : C:/WINDOWS/system32/k118636446612.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:22:30
大小 : 6253 字节 6.109 KB
MD5 : 5bde6c52ae9f33f88f442e37e7c88f63

文件说明符 : C:/WINDOWS/system32/k118636446511.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:43:6
修改时间 : 2007-8-6 12:43:6
访问时间 : 2007-8-6 13:22:35
大小 : 7805 字节 7.637 KB
MD5 : b2a8ba4e2f2c5e718989ae315e971a21

文件说明符 : C:/WINDOWS/system32/k11863644596.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:12
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:22:43
大小 : 6898 字节 6.754 KB
MD5 : 3d0fd9546a48b665067a21412cd84012

文件说明符 : C:/WINDOWS/system32/k11863644596.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:12
修改时间 : 2007-8-6 12:42:12
访问时间 : 2007-8-6 13:22:48
大小 : 6898 字节 6.754 KB
MD5 : 3d0fd9546a48b665067a21412cd84012

文件说明符 : C:/WINDOWS/system32/k11863644618.DAT
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-6 12:42:6
修改时间 : 2007-8-6 12:42:6
访问时间 : 2007-8-6 13:22:53
大小 : 6465 字节 6.321 KB
MD5 : 088c2f743a8ce238a0e677025e830992