一位网友的电脑中了Trojan.PSW.OnlineGames.amc

最新推荐文章于 2022-02-25 21:57:21 发布
最新推荐文章于 2022-02-25 21:57:21 发布
阅读量2.3k 收藏
点赞数
分类专栏: 系统维护 文章标签: c internet system service windows ie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Purpleendurer/article/details/1583154
版权

endurer 原创
2007-04-24 第1

昨天,一位网友的电脑中了Trojan.PSW.OnlineGames.amc,虽然被瑞星查杀了,但他不太放心,让偶通过QQ远程协助帮忙检查。

一看,瑞星实时监控居然没有开,不过IE防漏洞补丁运行了……

检查瑞星的杀毒日志如下:
/---
病毒名称  处理结果  扫描方式 路径 文件 病毒来源
Trojan.MNless.jys  删除成功 定时扫描  C:/WINDOWS/system32/drivers ecdacgcf.sys 本机
Trojan.MNless.jys  删除成功 定时扫描  C:/Documents and Settings/new/Local Settings/Temp/4A cdnprot.sys  本机
Trojan.MNless.jys  删除成功 定时扫描  C:/Documents and Settings/new/Local Settings/Temp/4D cdnprot.sys  本机
Trojan.MNless.jys  删除成功 定时扫描  C:/Documents and Settings/new/Local Settings/Temp/63 cdnprot.sys  本机   

Trojan.PSW.OnlineGames.amc 删除成功  手动扫描  C:/WINDOWS/system32                 RAVFY48.DLL>>UPX  本机
Trojan.PSW.OnlineGames.amc  删除成功  手动扫描  C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/5OPE3GZX     2[1].exe>>fsg2.0 本机
Trojan.PSW.OnlineGames.amc  删除成功  手动扫描  C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/5OPE3GZX                     2[2].exe>>fsg2.0 本机
Trojan.PSW.OnlineGames.amc  删除成功    手动扫描  C:/Program Files/Internet Explorer iedw02.exe>>fsg2.0 本机
---/
估计是浏览网页时中标,不过被IE防漏洞补丁给阻止了,没有跑起来。

下载 pe_xscan 扫描log分析,发现如下可疑项:
/---
pe_xscan 07-03-17 by Purple Endurer
2007-4-23 17:42:47
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/PROGRA~1/3721/helper.dll | 2006-12-27 10:29:52
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32
C:/WINDOWS/Explorer.EXE * 1096 | 2004-8-8 4:0:0
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/PROGRA~1/3721/helper.dll | 2006-12-27 10:29:52
    C:/PROGRA~1/3721/alrex.dll | 2006-12-21 17:53:48
    C:/PROGRA~1/3721/autolive.dll | 2007-4-9 10:58:44
    C:/PROGRA~1/3721/alLiveEx.dll | 2006-3-21 14:20:6
    C:/PROGRA~1/3721/ske/contmenu.dll | 2005-2-23 17:59:6

C:/Program Files/CNNIC/Cdn/cdnup.exe * 1152 | 2007-4-21 19:1:10
    C:/Program Files/CNNIC/Cdn/cdnup.exe | 2007-4-21 19:1:10
    C:/Program Files/CNNIC/Cdn/cdnuplib.dll | 2007-4-21 19:2:48
    C:/Program Files/CNNIC/Cdn/cdnprh.dll | 2007-4-21 19:2:0
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54

C:/Program Files/Rising/AntiSpyware/runiep.exe * 1280 | 2007-4-23 10:10:34
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32

C:/WINDOWS/system32/rundll32.exe * 1336 | 2004-8-8 4:0:0
    C:/PROGRA~1/3721/helper.dll | 2006-12-27 10:29:52
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32
    C:/PROGRA~1/3721/autolive.dll | 2007-4-9 10:58:44
    C:/PROGRA~1/3721/notifier.dll | 2006-12-21 17:53:50
    C:/PROGRA~1/3721/alLiveEx.dll | 2006-3-21 14:20:6

C:/WINDOWS/system32/ctfmon.exe * 2324 | 2004-8-8 4:0:0
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/PROGRA~1/3721/helper.dll | 2006-12-27 10:29:52
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32

D:/软件/QQ/TIMPlatform.exe * 2460 | 2007-2-2 16:41:0
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/PROGRA~1/3721/helper.dll | 2006-12-27 10:29:52
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32
D:/软件/QQ/QQ.exe * 156 | 2007-2-2 19:0:12
    C:/PROGRA~1/3721/CnsM.dll | 2007-4-17 11:25:54
    C:/PROGRA~1/3721/helper.dll | 2006-12-27 10:29:52
    C:/Program Files/CNNIC/Cdn/imaoe.dll | 2007-4-21 19:1:38
    C:/Program Files/CNNIC/Cdn/cdnforie.dll | 2007-4-21 19:2:38
    C:/Program Files/CNNIC/Cdn/cdndet.dll | 2007-4-21 19:1:32

O2 - BHO CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll

O2 - BHO  - {669751ED-D558-49AE-B01A-3B374CC7910E} - C:/WINDOWS/system32/ssup.dll

O4 - HKLM/../Run: [CdnCtr] C:/Program Files/CNNIC/Cdn/cdnup.exe

O4 - HKLM/../Run: [CnsM.dll] Rundll32.exe C:/PROGRA~1/3721/CnsM.dll,Rundll32

O4 - HKLM/../Run: [helper.dll] C:/WINDOWS/system32/rundll32.exe C:/PROGRA~1/3721/helper.dll,Rundll32

O21 - SSODL - rdshost(4) - {CD5BAE98-08ED-4D9C-8D7E-B3B4F958E61C} = rdshost.dll

O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys | 2007-4-21 18:52:48(系统)

O23 - 服务: cdnprot (cdnprot) - system32/drivers/cdnprot.sys(引导)

O23 - 服务: phbpcre (phbpcre) - system32/drivers/phbpcre.sys(禁用)

O23 - 服务: pjjgkej (pjjgkej) - C:/WINDOWS/System32/drivers/pjjgkej.sys | 2007-4-23 10:15:4(引导)
---/

其中 O21 好像是某MSN蠕虫用的东东的残留项目,其它的主要是流氓软件和广告软件了

用HijackThis、卡卡安全助手和Dr.Web CureIt查杀修复。 

紫郢剑侠
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
遭遇Trojan.PSW.OnlineGames、Trojan.HiJack.a、Trojan.PSW.ZhuXian.b等
Purpleendurer@CSDN
06-08 7745
endurer 原创2007-06-08  第1版一位网友说他的电脑最近反应速度很慢,让偶通过QQ远程协助帮忙检修。先用msconfig检查,发现了一些可疑启劝项,把金山毒霸升级到最新后扫描系统,没有发现病毒。到 http://endurer.ys168.com 下载 HijackThis 和 瑞星杀毒助手 Aide4Rav。到 http://purpleendurer.ys168.c
一位网友了Viking,Trojan.PSW.OnLineGames.abo,Trojan.PSW.SBoy.b等
热门推荐
Purpleendurer@CSDN
04-04 1万+
endurer 原创2007-04-04 第1版昨晚,一位网友说,他的电脑工作速度很慢,浏览网页时自动弹广告,让偶帮助检查一下。让他先用HijackThis(可到http://endurer.ys168.com下载)扫描log传过来一看,估计是Viking了。让他传了几个可疑文件过来。同时到江民网站下载了Viking专杀工具传给网友查杀,果然清除了一些。又将pe_xscan、P
遭遇Trojan.PSW.ZhengTu,Trojan.PSW.OnlineGames,Trojan.PSW.ZhuXian.b等
Purpleendurer@CSDN
06-25 2423
endurer 原创2007-06-25 第1版今天上午,一位同事说他们科室的两台电脑开机时金山毒霸、瑞星程序出错,运行很慢,让偶帮助检查。用 pe_xscan 扫描 log 并分析,发现如下可疑项:/===pe_xscan 07-06-04 by Purple Endurer2007-6-25 10:17:31Windows XP Service Pack 2(5.1.2600)管理员用
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
标题的"osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed"揭示了这个压缩包文件包含的是一种针对多个平台的蠕虫木马病毒,特别是针对Windows 32位系统、Linux以及Mac OS。关键词“Cross-Platform...
js.scob.trojan.nasl
最新发布
11-08
js.scob.trojan
敲诈者(Trojan.Disclies.e)解决方案
03-04
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。该木马...
trojan-qt5.app.zip
04-06
标题 "trojan-qt5.app.zip" 暗示我们正在处理一个可能包含恶意软件的压缩文件,其的“trojan”一词通常用于指代特洛伊木马病毒。特洛伊木马是一种伪装成合法软件的恶意程序,用户在不知情的情况下下载并执行时,它...
trojan-qt5.tar.gz
04-09
trojan-qt5 for linux
K8s 很难么?带你从头到尾捋一遍,不信你学不会
民工哥的博客
02-23 8841
点击关注公众号,回复“1024”获取2TB学习资源!为什么要学习 Kubernetes?虽然 Docker 已经很强大了,但是在实际使用上还是有诸多不便,比如集群管理、资源调度、文件管理等...
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)
北豼不太皮的博客
02-21 3304
10天智能锁项目实战第1天(了解单片机STM32F401RET6和C语言基础)一、学习目标二、了解单片机STM32F401RET6三、C语言基础 一、学习目标 二、了解单片机STM32F401RET6 4、STM32F401RE特征 三、C语言基础 1.数据类型 常用2的次方: 2^7 = 128 2^8 = 256 2^15 = 32768 2^16= 65536 51单片机常见的数据类型: char: 占内存1字节 取值范围:-128~127 -2^7 ~ 2
Android开发(1) | Fragment 的应用——新闻应用
Jormungand_V的博客
02-21 6400
文章目录 news_item.xml: <TextView xmlns:android="http://schemas.android.com/apk/res/android" android:id="@+id/news_title" android:layout_width="match_parent" android:layout_height="wrap_content" android:lines="1" android:ellipsize="
系统学习 TypeScript(四)——变量声明的初步学习
编程三昧
02-25 1553
认识了 TypeScript 的基础类型,接下来当然是变量声明的相关学习了,我在这里记录一下我学习过程的一些总结。
清除浮动的五种方法
weixin_52212950的博客
02-22 2499
为什么要清除浮动?因为往往浮动后的子元素因为脱离了标准流,不能自动撑起父元素的高度,所以会对后续布局产生影响,对此清除浮动不如理解为清除浮动产生的影响更为合理。 例如:我们设置了两个盒子如图所示,粉色为父盒子,只有宽度没有高度,蓝色盒子有宽有高,粉色盒子的高由蓝盒子的高度撑开。 但是给蓝色的子盒子设置了左浮动后,脱离了标准流,无法再撑开粉盒子,可以看到粉盒子高度变成了0; 清除浮动有五种方法: 直接设置父元素的高度 额外标签法 单伪元素法 双伪元素法 ove.
HTML实现学习网站首页
做技术,坚持才是最重要的,一时的热情只是暂时的进步
02-20 4010
项目访问 reset.css /* http://meyerweb.com/eric/tools/css/reset/ v2.0 | 20110126 License: none (public domain) */ html, body, div, span, applet, object, iframe, h1, h2, h3, h4, h5, h6, p, blockquote, pre, a, abbr, acronym, address, big, cite, code, del
C语言经典小游戏之----推箱子
嵌入式技术开发
02-25 4590
在进行推箱子的实验,可以使用对应的API函数来改变对应箱子的颜色,也需要根据,人在移动的过程,可以通过方向键,并改变对应的颜色,从而实现控制人物的目的。 代码实现如下: #include<stdio.h> #include<stdlib.h> #include<string.h> #include<windows.h> #include<conio.h> int x = 0, y = 0; //存储当前使用的...
关于Dubbo的mock=true降级无法调用降级类ServiceMock的解决方案
weixin_45754452的博客
02-25 1353
问题 消费者使用mock=“true”,想调用TestServiceMock进行服务降级无法调用 原因 我的项目结构如下,首先要知道服务降级代码应该是谁执行的,服务降级是服务消费者也就是controller包处对应的服务执行的,因为我只是测试dubbo怎么使用,所以并没有分多模块,但完全可以把一个包理解为一个模块,再看下面配置文件 为什么可以把一个包当成一个模块呢,因为我把配置文件的scan改成controller包然后启动一个服务器,即消费者,如果把scan改成service则可以启动服务提供者服务器
trojan.Generic文介绍
03-29
trojan.Generic是一种木马病毒,是一种通用的木马病毒类型,它可以在计算机系统执行各种恶意操作,例如窃取个人信息、监控用户活动、操纵文件等。由于trojan.Generic的行为是不确定的,所以它很难被检测和清除。它...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

紫郢剑侠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值