首页 > 其他分享 >偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等

偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等

时间:2022-12-08 14:02:47浏览次数:77  
标签:Files Trojan Windows Agent dll Win32 Program 2007 Microsoft


偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等

endurer 原创
2007-09-19  第1

刚才一位网友说他的电脑最近启动一个程序所需时间比较长。让偶通过QQ远程协助检查。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-19 13:2:51
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/Explorer.EXE * 1292 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/Program Files/Internet Explorer/rksldk.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll
    C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/Program Files/Internet Explorer/iexplore.exe * 2620 | 2004-8-4 8:52:32 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

O2 - BHO  - {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} - C:/Program Files/Common Files/goskdl.dll

O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys(系统)

O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies |  | NPF + TME  | npf.sys(手动)

O24 - ShlExecHook: [] - {DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D} = C:/Program Files/Internet Explorer/rksldk.dll
===/

到 ​​http://purpleendurer.ys168.com​​ 下载 FileInfo 和 bat_do 提取文件信息并打包备份,延时删除,改所选文件名,延时删除。

下载、安装瑞星卡卡安全助手,选择[高级功能],在[插件管理及卸载] 里把O2、O24 项卸载掉,在[系统启动项管理]里,右击 O23 项对应的项目,从弹出的菜单里选择删除。

用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。

文件说明符 : C:/Program Files/Common Files/fjOs0r.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2007-9-11 18:55:48
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 11895 字节 11.631 KB
MD5 : e6562253ae17a73583db21d92dd75b4d
HSA1: B5AFB1DC07554D7796910FF03404A6AD7C0355A6

瑞星报为 Trojan.PSW.Win32.OnlineGames.xym

Scanned file:   fjOs0r.dll - Infected

fjOs0r.dll - infected by ​Trojan-PSW.Win32.OnLineGames.coj

C:/Program Files/Internet Explorer/OnlO0r.dll 与  C:/Program Files/Common Files/fjOs0r.dll 相同

文件说明符 : C:/Program Files/Common Files/goskdl.dll属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B

瑞星报为 Trojan.PSW.Win32.OnlineGames.xym

Scanned file:   goskdl.dll - Infected

goskdl.dll - infected by ​Trojan-PSW.Win32.OnLineGames.cgq

C:/Program Files/Internet Explorer/rksldk.ebkC:/Program Files/Internet Explorer/rksldk.dll 与 C:/Program Files/Common Files/goskdl.dll 相同

文件说明符 : C:/Program Files/Common Files/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-24 16:28:13
修改时间 : 2007-9-16 18:45:26
访问时间 : 2007-9-17 0:0:0
大小 : 21304 字节 20.824 KB
MD5 : 5254117712729d5b0b1d33bb9174d5fe
HSA1: E99E687CA0C238A509D312DF78C734273110C292

瑞星报为 Trojan.Win32.Agent.vvk

Scanned file:   svchost.exe - Infected

svchost.exe - infected by ​Trojan-PSW.Win32.OnLineGames.cne

文件说明符 : C:/Program Files/Internet Explorer/rksldk.dll属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B

瑞星报为 Trojan.PSW.Win32.OnlineGames.xym

Scanned file:   rksldk.dll - Infected

rksldk.dll - infected by ​Trojan-PSW.Win32.OnLineGames.cgq

文件说明符 : C:/Program Files/Internet Explorer/OnlO0r.bak属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-9-11 18:55:47
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 19259 字节 18.827 KB
MD5 : 94cbf7f7db7208cdba6fe3f521d0d8d9
HSA1: 10AED0FFCA61FD55458AB0E1A65A85978250B01E

瑞星报为 Trojan.PSW.Win32.OnlineGames.ypf

Scanned file:   OnlO0r.bak - Infected

OnlO0r.bak - infected by ​Trojan-PSW.Win32.OnLineGames.coo

文件说明符 :C:/Program Files/Internet Explorer/rksldk.bak属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-10 8:14:24
访问时间 : 2007-9-17 0:0:0
大小 : 19753 字节 19.297 KB
MD5 : 148064f5ee5fd9f0280d3842571b3af7
HSA1: 4F9E28E02D690519F975D15AC37472DEA99568E2

瑞星报为 Trojan.PSW.Win32.OnlineGames.ylu

Scanned file:   rksldk.bak - Infected

rksldk.bak - infected by ​Trojan-PSW.Win32.OnLineGames.cgp

标签:Files,Trojan,Windows,Agent,dll,Win32,Program,2007,Microsoft
From: https://blog.51cto.com/endurer/5921102

相关文章