偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等
endurer 原创
2007-09-19 第1版
刚才一位网友说他的电脑最近启动一个程序所需时间比较长。让偶通过QQ远程协助检查。
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-19 13:2:51
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE * 1292 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/Program Files/Internet Explorer/rksldk.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Internet Explorer/iexplore.exe * 2620 | 2004-8-4 8:52:32 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
O2 - BHO - {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} - C:/Program Files/Common Files/goskdl.dll
O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys(系统)
O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies | | NPF + TME | npf.sys(手动)
O24 - ShlExecHook: [] - {DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D} = C:/Program Files/Internet Explorer/rksldk.dll
===/
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份,延时删除,改所选文件名,延时删除。
下载、安装瑞星卡卡安全助手,选择[高级功能],在[插件管理及卸载] 里把O2、O24 项卸载掉,在[系统启动项管理]里,右击 O23 项对应的项目,从弹出的菜单里选择删除。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。
文件说明符 : C:/Program Files/Common Files/fjOs0r.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-9-11 18:55:48
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 11895 字节 11.631 KB
MD5 : e6562253ae17a73583db21d92dd75b4d
HSA1: B5AFB1DC07554D7796910FF03404A6AD7C0355A6
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
Scanned file: fjOs0r.dll - Infected |
fjOs0r.dll - infected by Trojan-PSW.Win32.OnLineGames.coj |
C:/Program Files/Internet Explorer/OnlO0r.dll 与 C:/Program Files/Common Files/fjOs0r.dll 相同
文件说明符 : C:/Program Files/Common Files/goskdl.dll属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
Scanned file: goskdl.dll - Infected |
goskdl.dll - infected by Trojan-PSW.Win32.OnLineGames.cgq |
C:/Program Files/Internet Explorer/rksldk.ebk、C:/Program Files/Internet Explorer/rksldk.dll 与 C:/Program Files/Common Files/goskdl.dll 相同
文件说明符 : C:/Program Files/Common Files/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-24 16:28:13
修改时间 : 2007-9-16 18:45:26
访问时间 : 2007-9-17 0:0:0
大小 : 21304 字节 20.824 KB
MD5 : 5254117712729d5b0b1d33bb9174d5fe
HSA1: E99E687CA0C238A509D312DF78C734273110C292
瑞星报为 Trojan.Win32.Agent.vvk
Scanned file: svchost.exe - Infected |
svchost.exe - infected by Trojan-PSW.Win32.OnLineGames.cne |
文件说明符 : C:/Program Files/Internet Explorer/rksldk.dll属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
Scanned file: rksldk.dll - Infected |
rksldk.dll - infected by Trojan-PSW.Win32.OnLineGames.cgq |
文件说明符 : C:/Program Files/Internet Explorer/OnlO0r.bak属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-9-11 18:55:47
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 19259 字节 18.827 KB
MD5 : 94cbf7f7db7208cdba6fe3f521d0d8d9
HSA1: 10AED0FFCA61FD55458AB0E1A65A85978250B01E
瑞星报为 Trojan.PSW.Win32.OnlineGames.ypf
Scanned file: OnlO0r.bak - Infected |
OnlO0r.bak - infected by Trojan-PSW.Win32.OnLineGames.coo |
文件说明符 :C:/Program Files/Internet Explorer/rksldk.bak属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-10 8:14:24
访问时间 : 2007-9-17 0:0:0
大小 : 19753 字节 19.297 KB
MD5 : 148064f5ee5fd9f0280d3842571b3af7
HSA1: 4F9E28E02D690519F975D15AC37472DEA99568E2
瑞星报为 Trojan.PSW.Win32.OnlineGames.ylu
Scanned file: rksldk.bak - Infected |
rksldk.bak - infected by Trojan-PSW.Win32.OnLineGames.cgp |