偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等
2007-09-19 17:54
267 查看
偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等
endurer 原创
2007-09-19 第1版
刚才一位网友说他的电脑最近启动一个程序所需时间比较长。让偶通过QQ远程协助检查。
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-19 13:2:51
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE * 1292 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/Program Files/Internet Explorer/rksldk.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Internet Explorer/iexplore.exe * 2620 | 2004-8-4 8:52:32 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
O2 - BHO - {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} - C:/Program Files/Common Files/goskdl.dll
O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys(系统)
O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies | | NPF + TME | npf.sys(手动)
O24 - ShlExecHook: [] - {DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D} = C:/Program Files/Internet Explorer/rksldk.dll
===/
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份,延时删除,改所选文件名,延时删除。
下载、安装瑞星卡卡安全助手,选择[高级功能],在[插件管理及卸载] 里把O2、O24 项卸载掉,在[系统启动项管理]里,右击 O23 项对应的项目,从弹出的菜单里选择删除。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。
文件说明符 : C:/Program Files/Common Files/fjOs0r.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-9-11 18:55:48
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 11895 字节 11.631 KB
MD5 : e6562253ae17a73583db21d92dd75b4d
HSA1: B5AFB1DC07554D7796910FF03404A6AD7C0355A6
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
C:/Program Files/Internet Explorer/OnlO0r.dll 与 C:/Program Files/Common Files/fjOs0r.dll 相同
文件说明符 : C:/Program Files/Common Files/goskdl.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
C:/Program Files/Internet Explorer/rksldk.ebk、C:/Program Files/Internet Explorer/rksldk.dll 与 C:/Program Files/Common Files/goskdl.dll 相同
文件说明符 : C:/Program Files/Common Files/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-24 16:28:13
修改时间 : 2007-9-16 18:45:26
访问时间 : 2007-9-17 0:0:0
大小 : 21304 字节 20.824 KB
MD5 : 5254117712729d5b0b1d33bb9174d5fe
HSA1: E99E687CA0C238A509D312DF78C734273110C292
瑞星报为 Trojan.Win32.Agent.vvk
文件说明符 : C:/Program Files/Internet Explorer/rksldk.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
文件说明符 : C:/Program Files/Internet Explorer/OnlO0r.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-9-11 18:55:47
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 19259 字节 18.827 KB
MD5 : 94cbf7f7db7208cdba6fe3f521d0d8d9
HSA1: 10AED0FFCA61FD55458AB0E1A65A85978250B01E
瑞星报为 Trojan.PSW.Win32.OnlineGames.ypf
文件说明符 : C:/Program Files/Internet Explorer/rksldk.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-10 8:14:24
访问时间 : 2007-9-17 0:0:0
大小 : 19753 字节 19.297 KB
MD5 : 148064f5ee5fd9f0280d3842571b3af7
HSA1: 4F9E28E02D690519F975D15AC37472DEA99568E2
瑞星报为 Trojan.PSW.Win32.OnlineGames.ylu
endurer 原创
2007-09-19 第1版
刚才一位网友说他的电脑最近启动一个程序所需时间比较长。让偶通过QQ远程协助检查。
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-19 13:2:51
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE * 1292 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/Program Files/Internet Explorer/rksldk.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Internet Explorer/iexplore.exe * 2620 | 2004-8-4 8:52:32 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
O2 - BHO - {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} - C:/Program Files/Common Files/goskdl.dll
O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys(系统)
O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies | | NPF + TME | npf.sys(手动)
O24 - ShlExecHook: [] - {DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D} = C:/Program Files/Internet Explorer/rksldk.dll
===/
到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份,延时删除,改所选文件名,延时删除。
下载、安装瑞星卡卡安全助手,选择[高级功能],在[插件管理及卸载] 里把O2、O24 项卸载掉,在[系统启动项管理]里,右击 O23 项对应的项目,从弹出的菜单里选择删除。
用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。
文件说明符 : C:/Program Files/Common Files/fjOs0r.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-9-11 18:55:48
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 11895 字节 11.631 KB
MD5 : e6562253ae17a73583db21d92dd75b4d
HSA1: B5AFB1DC07554D7796910FF03404A6AD7C0355A6
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
Scanned file: fjOs0r.dll - Infected |
fjOs0r.dll - infected by Trojan-PSW.Win32.OnLineGames.coj |
文件说明符 : C:/Program Files/Common Files/goskdl.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
Scanned file: goskdl.dll - Infected |
goskdl.dll - infected by Trojan-PSW.Win32.OnLineGames.cgq |
文件说明符 : C:/Program Files/Common Files/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-24 16:28:13
修改时间 : 2007-9-16 18:45:26
访问时间 : 2007-9-17 0:0:0
大小 : 21304 字节 20.824 KB
MD5 : 5254117712729d5b0b1d33bb9174d5fe
HSA1: E99E687CA0C238A509D312DF78C734273110C292
瑞星报为 Trojan.Win32.Agent.vvk
Scanned file: svchost.exe - Infected |
svchost.exe - infected by Trojan-PSW.Win32.OnLineGames.cne |
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B
瑞星报为 Trojan.PSW.Win32.OnlineGames.xym
Scanned file: rksldk.dll - Infected |
rksldk.dll - infected by Trojan-PSW.Win32.OnLineGames.cgq |
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-9-11 18:55:47
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 19259 字节 18.827 KB
MD5 : 94cbf7f7db7208cdba6fe3f521d0d8d9
HSA1: 10AED0FFCA61FD55458AB0E1A65A85978250B01E
瑞星报为 Trojan.PSW.Win32.OnlineGames.ypf
Scanned file: OnlO0r.bak - Infected |
OnlO0r.bak - infected by Trojan-PSW.Win32.OnLineGames.coo |
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-10 8:14:24
访问时间 : 2007-9-17 0:0:0
大小 : 19753 字节 19.297 KB
MD5 : 148064f5ee5fd9f0280d3842571b3af7
HSA1: 4F9E28E02D690519F975D15AC37472DEA99568E2
瑞星报为 Trojan.PSW.Win32.OnlineGames.ylu
Scanned file: rksldk.bak - Infected |
rksldk.bak - infected by Trojan-PSW.Win32.OnLineGames.cgp |
相关文章推荐
- 偶遇
- 偶遇未来人之 -- 畅谈软件未来(转贴)
- 相见不如偶遇
- 偶遇牛人:编程思想最重要
- 偶遇洪小文(Hsiao-Wuen Hon)
- 偶遇问题-启库时报ORA-16038错误
- 异常“偶遇”之—— UnsupportedClassVersionError:Bad version number in .class file
- 偶遇鬼影病毒nat.exe
- 偶遇比尔盖茨
- 重庆轨道交通上偶遇 Ubuntu
- 偶遇JMX
- [9]技术浅谈——偶遇佛者
- 偶遇C++怪异语法
- 论坛中偶遇对udp的讨论贴,感觉很好,保持地址
- 深圳街头偶遇写字人
- 和博客园偶遇之后的一些感想
- 感谢火车上偶遇的贵人
- 竹节棍的偶遇
- 偶遇 smon 进程cpu 开销高异常分析
- 我的投资案例(1)-偶遇阿丁特,重仓好狗狗