遭遇 kapjazy.dll,yhpri.dll,WinSys64.Sys,nwiztlbu.exe,myplayer.com 等2
endurer 原创
2007-09-15 第2版 补充 Kaspersky 和 瑞星 的回复
2007-09-14 第1版
(继1)
刚才通过QQ远程协助昨晚那位网友处理。
发现网友电脑中的瑞星的病毒库还是 09-04 的,升级到最新病毒库后,瑞星监控不停地提示发现病毒:
/---
病毒名称 处理结果 扫描方式 路径 文件
Trojan.PSW.Win32.NPSword.a 重新启动计算机后删除文件 文件监控 C:/WINDOWS/system32 kapjazy.dll
Trojan.PSW.Win32.WoWar.wo 重新启动计算机后删除文件 文件监控 C:/WINDOWS dbhelp.dll
Trojan.PSW.Win32.AskTao.bz 重新启动计算机后删除文件 文件监控 C:/WINDOWS/system32 kawdbzy.dll
Trojan.PSW.Win32.XYOnline.hn 重新启动计算机后删除文件 文件监控 C:/WINDOWS/system32 kvdxbma.dll
Trojan.PSW.Win32.QQHX.tps 重新启动计算机后删除文件 文件监控 C:/WINDOWS/system32 kaqhczy.dll
Trojan.PSW.Win32.WoWar.wo 删除成功 文件监控 c:/windows winrar.exe>>upack0.34
---/
让网友重启电脑,再手动扫描,结果如下:
/---
病毒名称 处理结果 扫描方式 路径 文件 病毒来源
Trojan.PSW.Win32.WoWar.wo 删除成功 手动扫描 c:/windows/system32 9.exe>>upack0.34 本机
Trojan.PSW.Win32.OnlineGames.yim 删除成功 手动扫描 c:/windows/system32 17.exe>>upx_c 本机
Trojan.PSW.Win32.OnlineGames.yiq 删除成功 手动扫描 c:/windows/system32 12.exe>>upack0.34 本机
Trojan.PSW.Win32.ZhengTu.yju 删除成功 手动扫描 c:/windows/system32 4.exe>>fsg2.0 本机
Trojan.PSW.Win32.OnlineGames.yii 删除成功 手动扫描 c:/windows/system32 kvdxbis.exe>>upack0.34 本机
Trojan.PSW.Win32.AskTao.cd 删除成功 手动扫描 c:/windows/system32 kawdbaz.exe>>upack0.34 本机
Trojan.PSW.Win32.NPSword.a 删除成功 手动扫描 c:/windows/system32 kapjaaz.exe>>upack0.34 本机
Trojan.PSW.Win32.QQHX.tps 删除成功 手动扫描 c:/windows/system32 kaqhcaz.exe>>upack0.34 本机
Trojan.PSW.Win32.XYOnline.hf 删除成功 手动扫描 c:/windows/system32 kvdxais.exe>>upack0.34 本机
Trojan.PSW.Win32.OnlineGames.yiq 删除成功 手动扫描 C:/WINDOWS video.dll 本机
Trojan.PSW.Win32.OnlineGames.yiq 删除成功 手动扫描 c:/windows wmsj.exe>>upack0.34 本机
Trojan.Win32.Agent.wal 删除成功 手动扫描 c:/documents and settings/administrator/local settings/temp banner.jpg>>upx_c 本机
Trojan.PSW.Win32.ZhengTu.yju 删除成功 手动扫描 C:/Documents and Settings/Administrator/Local Settings/Temp 4rtm.dll 本机
Trojan.PSW.Win32.LMir.yev 删除成功 手动扫描 c:/documents and settings/administrator/local settings/temporary internet files/content.ie5/0mvhxvr4 8[1].exe>>upack0.39 本机
Trojan.PSW.Win32.QQHX.tps 删除成功 手动扫描 c:/documents and settings/administrator/local settings/temporary internet files/content.ie5/0mvhxvr4 15[1].exe>>upack0.34 本机
---/
基本都清除了。
接下来删除病毒残留的项目,可惜在360安全卫士中找不到。
下载安装并运行瑞星卡卡安全助手,选[高级功能]->[插件管理及卸载],卸载 O24的项目。
切换到[系统启动项管理]里,找到 O4、O23、O25等项目,右击,从弹出的菜单里选择删除。
到 http://endurer.ys168.com 下载 HijackThis 修复O2项。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件和文件夹。
不小心发现三个可疑文件,到 http://purpleendurer.ys168.com 下载 FileInfo提取文件信息,下载 bat_do 打包文件:
文件说明符 : C:/Documents and Settings/Administrator/Local Settings/Temp/sa.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-5 7:44:13
修改时间 : 2007-9-14 17:20:46
访问时间 : 2007-9-14 0:0:0
大小 : 23688 字节 23.136 KB
MD5 : aca03083893a20ee255a34b69c6f6f88
HSA1: 8D3CF9D4A7BEC148CD7246EDA6D86D2565B01078
主 题: | 病毒上报邮件分析结果-流水单号:20070914230844556566 | ||
发件人: | "" <[email protected]> <script language="JavaScript" type="text/javascript"> </script> | 发送时间:2007.09.14 23:12 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:sa.jpg.exe
病毒名:
Trojan.Clicker.Win32.Delf.ij
您所上报的病毒文件将在19.40.51版本中处理解决。
主 题: | RE: sa.jpg.exe.rar [KLAB-2915261] | ||
发件人: | "" <[email protected]> <script language="JavaScript" type="text/javascript"> </script> | 发送时间:2007.09.15 01:31 | |
Hello,
sa.jpg.ex - Trojan-Spy.Win32.Delf.abb
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Erakhtin Kirill
Virus analyst, Kaspersky Lab.
文件说明符 : C:/Documents and Settings/Administrator/Local Settings/Temp/c8.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-5 7:44:12
修改时间 : 2007-9-14 17:20:44
访问时间 : 2007-9-14 0:0:0
大小 : 23158 字节 22.630 KB
MD5 : 09cbb2d92fb270f17e58bb61240b4a15
HSA1: 93954089548F55D685D7D25EBDA8A0CA07D4250F
主 题: | 病毒上报邮件分析结果-流水单号:20070914231057204457 | ||
发件人: | "" <[email protected]> <script language="JavaScript" type="text/javascript"> </script> | 发送时间:2007.09.14 23:20 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:c8.jpg.exe
病毒名:
Trojan.Clicker.Win32.Delf.il
您所上报的病毒文件将在19.40.51版本中处理解决。
主 题: | RE: c8.jpg.exe.rar [KLAB-2915271] | ||
发件人: | "" <[email protected]> <script language="JavaScript" type="text/javascript"> </script> | 发送时间:2007.09.15 01:30 | |
Hello,
c8.jpg.ex - Trojan-Spy.Win32.Delf.bbo
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Erakhtin Kirill
Virus analyst, Kaspersky Lab.
文件说明符 : C:/Documents and Settings/Administrator/Local Settings/Temp/ck3.jpg.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-9-5 7:44:10
修改时间 : 2007-9-14 17:20:42
访问时间 : 2007-9-14 0:0:0
大小 : 26777 字节 26.153 KB
MD5 : c700f613cd7e115b13e39c0b42958b4c
HSA1: 03569A04EF382E82245A9A61D93691FEA0E0A3DA
主 题: | 病毒上报邮件分析结果-流水单号:20070914231334416615 | ||
发件人: | "" <[email protected]> <script language="JavaScript" type="text/javascript"> </script> | 发送时间:2007.09.14 23:22 | |
尊敬的客户,您好!
您的邮件已经收到,感谢您对瑞星的支持。
我们已经详细分析过您的问题和文件,以下是您上传的文件的分析结果:
1.文件名:ck3.jpg.exe
病毒名:Trojan.Clicker.Win32.Delf.ik
您所上报的病毒文件将在19.40.51版本中处理解决。
主 题: | RE: ck3.jpg.exe.rar [KLAB-2915279] | ||
发件人: | "" <[email protected]> | 发送时间:2007.09.14 23:34 | |
Hello,
ck3.jpg.ex - Trojan-Spy.Win32.Delf.bbn
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Erakhtin Kirill
Virus analyst, Kaspersky Lab.