偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等

原创 2007年09月19日 17:54:00

偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等

endurer 原创
2007-09-19  第1

刚才一位网友说他的电脑最近启动一个程序所需时间比较长。让偶通过QQ远程协助检查。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-08-30 by Purple Endurer
2007-9-19 13:2:51
Windows XP Service Pack 2(5.1.2600)
管理员用户组

C:/WINDOWS/Explorer.EXE * 1292 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/Program Files/Internet Explorer/rksldk.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll
    C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

C:/Program Files/Internet Explorer/iexplore.exe * 2620 | 2004-8-4 8:52:32 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/Program Files/Common Files/goskdl.dll | 2007-9-19 8:2:28 | Microsoft Windows Operating System | 6.00.2900.3028 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll   | Windows.dll

O2 - BHO  - {C1626E66-C26B-C628-E1DF-CDACCFA26EE1} - C:/Program Files/Common Files/goskdl.dll

O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys(系统)

O23 - 服务: NPF (Netgroup Packet Filter) - system32/drivers/npf.sys | WinPcap Netgroup Packet Filter Driver | 3, 1, 0, 27 | npf | Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino. | 3, 1, 0, 27 | CACE Technologies |  | NPF + TME  | npf.sys(手动)

O24 - ShlExecHook: [] - {DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D} = C:/Program Files/Internet Explorer/rksldk.dll
===/

http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do 提取文件信息并打包备份,延时删除,改所选文件名,延时删除。

下载、安装瑞星卡卡安全助手,选择[高级功能],在[插件管理及卸载] 里把O2、O24 项卸载掉,在[系统启动项管理]里,右击 O23 项对应的项目,从弹出的菜单里选择删除。

用WinRAR 删除Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件和文件夹。

文件说明符 : C:/Program Files/Common Files/fjOs0r.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2007-9-11 18:55:48
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 11895 字节 11.631 KB
MD5 : e6562253ae17a73583db21d92dd75b4d
HSA1: B5AFB1DC07554D7796910FF03404A6AD7C0355A6

瑞星报为 Trojan.PSW.Win32.OnlineGames.xym

Scanned file:   fjOs0r.dll - Infected

fjOs0r.dll - infected by Trojan-PSW.Win32.OnLineGames.coj

C:/Program Files/Internet Explorer/OnlO0r.dll 与  C:/Program Files/Common Files/fjOs0r.dll 相同

文件说明符 : C:/Program Files/Common Files/goskdl.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B

瑞星报为 Trojan.PSW.Win32.OnlineGames.xym

Scanned file:   goskdl.dll - Infected

goskdl.dll - infected by Trojan-PSW.Win32.OnLineGames.cgq

C:/Program Files/Internet Explorer/rksldk.ebkC:/Program Files/Internet Explorer/rksldk.dll 与 C:/Program Files/Common Files/goskdl.dll 相同

文件说明符 : C:/Program Files/Common Files/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-8-24 16:28:13
修改时间 : 2007-9-16 18:45:26
访问时间 : 2007-9-17 0:0:0
大小 : 21304 字节 20.824 KB
MD5 : 5254117712729d5b0b1d33bb9174d5fe
HSA1: E99E687CA0C238A509D312DF78C734273110C292

瑞星报为 Trojan.Win32.Agent.vvk

Scanned file:   svchost.exe - Infected

svchost.exe - infected by Trojan-PSW.Win32.OnLineGames.cne

文件说明符 : C:/Program Files/Internet Explorer/rksldk.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 6.00.2900.3028
产品名称 : Microsoft Windows Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll 
源文件名 : Windows.dll
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-17 8:2:28
访问时间 : 2007-9-17 0:0:0
大小 : 11813 字节 11.549 KB
MD5 : 202f8e04da62c80a3110d03c41323b46
HSA1: FEA944C599BE9B2663C2C76785214AAF60B2147B

瑞星报为 Trojan.PSW.Win32.OnlineGames.xym

Scanned file:   rksldk.dll - Infected

rksldk.dll - infected by Trojan-PSW.Win32.OnLineGames.cgq

文件说明符 : C:/Program Files/Internet Explorer/OnlO0r.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-9-11 18:55:47
修改时间 : 2007-9-16 18:44:2
访问时间 : 2007-9-17 0:0:0
大小 : 19259 字节 18.827 KB
MD5 : 94cbf7f7db7208cdba6fe3f521d0d8d9
HSA1: 10AED0FFCA61FD55458AB0E1A65A85978250B01E

瑞星报为 Trojan.PSW.Win32.OnlineGames.ypf

Scanned file:   OnlO0r.bak - Infected

OnlO0r.bak - infected by Trojan-PSW.Win32.OnLineGames.coo

文件说明符 : C:/Program Files/Internet Explorer/rksldk.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-8-8 8:17:20
修改时间 : 2007-9-10 8:14:24
访问时间 : 2007-9-17 0:0:0
大小 : 19753 字节 19.297 KB
MD5 : 148064f5ee5fd9f0280d3842571b3af7
HSA1: 4F9E28E02D690519F975D15AC37472DEA99568E2

瑞星报为 Trojan.PSW.Win32.OnlineGames.ylu

Scanned file:   rksldk.bak - Infected

rksldk.bak - infected by Trojan-PSW.Win32.OnLineGames.cgp

偶遇this之坑

未滚动加载完成,怎样解决浏览器返回上一页时出现的问题??
  • nideshijian
  • nideshijian
  • 2017年01月09日 16:53
  • 689

与rxJava的偶遇

本人,小猿一枚,最近玩了下rxjava,颇有感慨,有一种相见恨晚的感觉,于是做了如下总结,介绍给各位大婶。rxjava 很类似asynctask的编码风格,但是比asynctask更灵活。 rxja...
  • BingHongChaZuoAn
  • BingHongChaZuoAn
  • 2016年07月08日 14:15
  • 225

北京偶遇的技术

回头看看,从北京回来也已经有足足一个月了,这半年的时光直在脑海中打转。每每想起在北京生活的半年,心中满满的都是欢喜。 从去年9月22欢喜的踏上廊坊到北京早上最早的那趟列车时,注定接下来的半年生活一定是...
  • YSC1123
  • YSC1123
  • 2016年04月26日 15:48
  • 5906

JavaScript中偶遇工厂模式

在学习JavaScript中很意外的遇到了工厂模式,自己还是见识少啊!!     使用工厂方法是为了集中实例化,解决实例化对象产生大量重复的问题。应用了工厂方法,代码精简了不少。     functi...
  • zjy15203167987
  • zjy15203167987
  • 2016年06月14日 09:13
  • 583

K245上偶遇的小女孩

2012年8月11日,K245晚点两个半小时后才姗姗来迟,十一点钟我终于坐上西去的列车,6车83号。 坐我旁边的是一位母亲,带着一个小女孩,第一眼,就发现她是一个古灵精怪的小孩纸:长的小巧玲珑,圆圆...
  • dreamseeker_xd
  • dreamseeker_xd
  • 2013年12月15日 12:01
  • 1529

前端偶遇之闭包

写过一些前端页面,一直都未接触到闭包的概念,偶然接触到一种前端方法的写法 (function (n){        //执行代码 })(i); 当下不由的好奇,这种写法究竟代表着啥意思,于是...
  • GeckoLovesKeyboard
  • GeckoLovesKeyboard
  • 2017年08月06日 22:46
  • 60

一体偶有哟与偶遇偶哟

dl.vmall.com/c0a9p1bujv dl.vmall.com/c0d43sode7 dl.vmall.com/c0kk85a6ms dl.vmall.com/c0tg2mzkqw ...
  • xpnxvtbp
  • xpnxvtbp
  • 2014年07月17日 21:17
  • 4

偶遇深圳图书馆

我每次到一个城市,都会去当地的图书馆看一看,因为我很喜欢图书馆,喜欢的是那份安静,喜欢书香文海里的思考,看一个城市的公共基础建设和当地居民的生活水平,到图书馆一看就清楚了。今天周日,在家看看电视,下午...
  • Y1131309761
  • Y1131309761
  • 2017年05月07日 20:59
  • 137

不小心偶遇SOA/ESB

我是个不怎么喜欢把自己一些积累的东西放在博客上的人,一般是放在自己的知识库中,好吧,你们或许说我自私...         最近公司高层提出做"智慧XX"项目,经公司资深架构师了解,需要用到SOA思想...
  • lenka_xiu
  • lenka_xiu
  • 2014年02月25日 11:25
  • 736

[python]偶遇奇技淫巧-20170514

----for循环遍历到空列表时自动跳过循环的奇巧 在看“用Python和Pygame写游戏-从入门到精通(2)”时,遇见一段代码,如下图: 这是用pygame...
  • highmiao_19
  • highmiao_19
  • 2017年05月14日 23:11
  • 147
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:偶遇 Trojan.PSW.Win32.OnlineGames.xym,Trojan.Win32.Agent.vvk等
举报原因:
原因补充:

(最多只允许输入30个字)