iemnaw.dll为无效映像?毒霸瑞星也玩失踪?原来中了Win32.Logogo,RootKit.Win32.HideFile等2
endurer 原创
2008-04-19 第1版
(续1)
开始修复~
重启电脑到带网络连接的安全模式下
到 http://endurer.ys168.com 下载 bat_do 和 FileInfo。
用 FileInfo 提取log中红色标记的文件信息,用 bat_do 将 log中红色标记的文件 打包备份并延时删除。
到 http://purpleendurer.ys168.com 下载 IceSword备用。
到 http://tool.ikaka.com 下载、安装瑞星卡卡安全助手。
运行 regedit.exe,删除 O26 - IFEO: Ras.exe -> ntsd -d 对应的项目。
然后启动瑞星卡卡安全助手,查杀了3个流氓软件,然后切换到
在[高级功能]—>[插件管理及卸载]里,把 O2、O24 项卸载掉
切换到[系统启用项管理]里
在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
在左边点击[应用程序初始化动态连接库],在右边找到 O20 项对应的项目,右击,从弹出的菜单里选择删除。
在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除。
在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
用WinRAR 删除各盘下的autorun.inf,ntldr.exe,以及Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。
在c:/中发现avp.exe,也删除了。
重启电脑,进入安全模式,看看 log 中红色标记的文件是否还在,还有则用 IceSword 来删除。
重启电脑,正常启动,瑞星提示注册,先不注册。
进入桌面后,金山毒霸,360卫士的监控图标都出来了。
由于毒霸还可以升级,暂时把瑞星卸掉以后再用。
附:部分病毒文件信息
文件说明符 : C:/ntldr.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:31
修改时间 : 2004-8-17 12:0:0
访问时间 : 2008-4-13 0:0:0
大小 : 18489 字节 18.57 KB
MD5 : 2ff9fcac74e9825b905a1476b495bc0f
SHA1: 8F9EF0DF5C8CE0122E3C0C1DEE6DB056F5AB7830
CRC32: 5206efde
Kaspersky 报为 Worm.Win32.Anilogo.f,瑞星 报为 Win32.Logogo.a
文件说明符 : C:/WINDOWS/system32/DRIVERS/phy.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-13 17:52:35
修改时间 : 2008-4-13 17:52:36
访问时间 : 2008-4-13 0:0:0
大小 : 1536 字节 1.512 KB
MD5 : 08c585d04512eada0914a2043eb6dc6d
SHA1: EB55B29D65F3C461F88224CDACC399445FF34DCB
CRC32: e34394b7
Kaspersky 报为 Trojan-Downloader.Win32.Apher.y,瑞星 报为 Trojan.Win32.Undef.bxv
文件说明符 : C:/WINDOWS/system32/drivers/msosfpids32.sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-3-3 20:42:25
修改时间 : 2008-3-4 10:22:30
访问时间 : 2008-4-13 0:0:0
大小 : 3072 字节 3.0 KB
MD5 : 9ff85f7951616d5b96ad73ed9957c94a
SHA1: 36FC854331939A12BE4A62254617FF03145AABE1
CRC32: 17544bf4
Kaspersky 报为 Rootkit.Win32.Agent.abq,瑞星 报为 RootKit.Win32.Mnless.hz
文件说明符 : C:/WINDOWS/system32/drivers/msosmsfpfis64.sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:23
修改时间 : 2008-4-12 20:17:38
访问时间 : 2008-4-13 0:0:0
大小 : 3072 字节 3.0 KB
MD5 : 0d50a72b789ee6cf5921a8433ef9e631
SHA1: 192E938F19F5867E3E9EC5C4C6C153E3AC81E8F6
CRC32: 9a715030
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.aadr,瑞星 报为 RootKit.Win32.HideFile.c
文件说明符 : C:/WINDOWS/system32/drivers/msyecp.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-3-4 10:22:33
修改时间 : 2008-3-4 10:22:34
访问时间 : 2008-4-13 0:0:0
大小 : 12800 字节 12.512 KB
MD5 : 07f19d7fe4c69e5fbf730511ce10bea3
SHA1: 36DDA4F1669B1467970B9D53295CB753892EB733
CRC32: 81a7f953
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.rtj,瑞星 报为 RootKit.Win32.GameHack.GEN
文件说明符 : C:/WINDOWS/upxdnd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:40
修改时间 : 2008-4-12 20:16:40
访问时间 : 2008-4-13 0:0:0
大小 : 19113 字节 18.681 KB
MD5 : 5ea3717969f8bde70fd4c0d7b06d5073
SHA1: 792AB4BAFCCEEE2560991163C1B7A1A9BA84D949
CRC32: 45ae74df
文件说明符 : C:/WINDOWS/system32/ttKAFKAF1060.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:40
修改时间 : 2008-4-12 20:17:42
访问时间 : 2008-4-13 0:0:0
大小 : 7303 字节 7.135 KB
MD5 : 8458787426846d6f758b3e8375a9cdce
SHA1: 32E8EDBC607FE8FFA12449E9C8E60E7B7905F958
CRC32: 75189254
文件说明符 : C:/WINDOWS/system32/ttQACQAC1035.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:35
修改时间 : 2008-4-12 20:17:36
访问时间 : 2008-4-13 0:0:0
大小 : 7277 字节 7.109 KB
MD5 : 10f9417523f04b35a71d68bacd3332a8
SHA1: 20FDE5A117FFBFB6FFFC5391BCFF878102F3F462
CRC32: 5ea29b0e
文件说明符 : C:/WINDOWS/system32/ttHADHAD1061.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:54
修改时间 : 2008-4-12 20:16:56
访问时间 : 2008-4-13 0:0:0
大小 : 7220 字节 7.52 KB
MD5 : 63ac75f1969e9b4d3effbaabd938d132
SHA1: 8851FB725EF12E17502B07443F396B13160D5EF5
CRC32: c22c237c
文件说明符 : C:/WINDOWS/system32/ttVUFVUF1011.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:51
修改时间 : 2008-4-12 20:16:52
访问时间 : 2008-4-13 0:0:0
大小 : 6800 字节 6.656 KB
MD5 : 8d205bb9873ab5311349a69c4e7ce02e
SHA1: E1F65FF138E34A7B737FDE4858298EC40FB69C33
CRC32: ddbd495d
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.win
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-3-20 21:11:50
修改时间 : 2008-4-12 19:51:40
访问时间 : 2008-4-13 0:0:0
大小 : 29817 字节 29.121 KB
MD5 : 9ed241e5b520c5f0cf060bc9fa93b0e5
SHA1: 9C12EB2306B00F4A255E3CBCCA568DE2F01CA397
CRC32: 18d9048c
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.Dat
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-3-20 21:11:50
修改时间 : 2008-4-12 19:51:38
访问时间 : 2008-4-13 0:0:0
大小 : 35996 字节 35.156 KB
MD5 : ec7a7779472d5fb316f028601a17aba1
SHA1: 3ACE2DCA4471E8FE320CC1D4DFEF56A69A2C2206
CRC32: 0ec568b9
文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.Sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-3-20 21:11:51
修改时间 : 2008-4-12 19:51:44
访问时间 : 2008-4-13 0:0:0
大小 : 30347 字节 29.651 KB
MD5 : 950fa40a0f7617ca5640296a51633e78
SHA1: C3EFE7E7B38331EEA6DA45A8DE7A844E822953BD
CRC32: 06141304
文件说明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp67.tmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:46:40
修改时间 : 2008-4-12 20:17:32
访问时间 : 2008-4-13 0:0:0
大小 : 9850 字节 9.634 KB
MD5 : 9452363c8c52251ca802c7d3d86633c6
SHA1: B6D59CC8C611D6CBFB63528156A481EBE4D10668
CRC32: bc8b92b9
文件说明符 : C:/WINDOWS/system32/drivers/askd.ahc
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 18:48:44
修改时间 : 2008-4-13 17:32:48
访问时间 : 2008-4-13 0:0:0
大小 : 18048 字节 17.640 KB
MD5 : 9852d8551c766491d8cee5aadb0834da
SHA1: EFF523C64E9DA4123DCE01BBDA274D4011EDEA61
CRC32: 97559883
文件说明符 : C:/WINDOWS/system32/DbgHlp32.dlL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-3-4 10:22:31
修改时间 : 2008-4-13 16:38:32
访问时间 : 2008-4-13 0:0:0
大小 : 26892 字节 26.268 KB
MD5 : 836ec4515b142d7a929b56480849d6a9
SHA1: 9A8B830060D0AE445C3D0698DC127AFD835DCCC5
CRC32: c5ff3fee
文件说明符 : C:/WINDOWS/system32/upxdnd.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:40
修改时间 : 2008-4-13 16:38:32
访问时间 : 2008-4-13 0:0:0
大小 : 29964 字节 29.268 KB
MD5 : b6f24030d54f61effd8315f940270a61
SHA1: E68A4DE1A7052CFB6FA2C6D27BFCAC168188F569
CRC32: b26626ad
文件说明符 : C:/WINDOWS/system32/msccrt.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:46
修改时间 : 2008-4-13 16:38:32
访问时间 : 2008-4-13 0:0:0
大小 : 27908 字节 27.260 KB
MD5 : ca7332162b2aba28166eba7a4964c7c6
SHA1: E220F5A4A49ACF70C324E18F6DE444EBD2CC06EF
CRC32: 3a4f760a
文件说明符 : C:/WINDOWS/system32/tfrbmknh.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-7 9:10:29
修改时间 : 2008-4-13 16:38:32
访问时间 : 2008-4-13 0:0:0
大小 : 31232 字节 30.512 KB
MD5 : e0872d44d13078b8e52c03c1e0f523be
SHA1: 8D5DFA7725520943053074378900A6BAFE743AA9
CRC32: e360595b
文件说明符 : C:/WINDOWS/system32/WSockDrv32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:43
修改时间 : 2008-4-13 16:38:34
访问时间 : 2008-4-13 0:0:0
大小 : 31500 字节 30.780 KB
MD5 : 195058bff0e69d2c7c844e746c834dd7
SHA1: 1D7DB824A469C81666A9602155548EA83927E088
CRC32: 35335bcf
文件说明符 : C:/WINDOWS/system32/cmdbcs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:48
修改时间 : 2008-4-13 16:38:38
访问时间 : 2008-4-13 0:0:0
大小 : 27404 字节 26.780 KB
MD5 : ee1a024186b38700c2a52b7fc854c3ee
SHA1: 529B7FE88BF144406611846DF1567086DE24317C
CRC32: 2393afb9
文件说明符 : C:/WINDOWS/system32/AVPSrv.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:11
修改时间 : 2008-4-13 16:38:40
访问时间 : 2008-4-13 0:0:0
大小 : 29964 字节 29.268 KB
MD5 : 842b50fe0f73561dbfd12fdd719c2355
SHA1: 8E9F17564F98F33FF8A6C5DDDED04616A4EBD939
CRC32: 0e19d071
文件说明符 : C:/WINDOWS/system32/LotusHlp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:24
修改时间 : 2008-4-13 16:38:44
访问时间 : 2008-4-13 0:0:0
大小 : 27404 字节 26.780 KB
MD5 : a3f4b6c7d66004130acb45dd3521f1cd
SHA1: 78CC8789C2FDEC44F15C30BEA97B871AFA473327
CRC32: 0d0fbe72
文件说明符 : C:/WINDOWS/system32/mfchlp32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:26
修改时间 : 2008-4-13 16:38:46
访问时间 : 2008-4-13 0:0:0
大小 : 30208 字节 29.512 KB
MD5 : f22c6e7bda9a62f563ddce00db3ae081
SHA1: 9964BB557233BEB785E1E0C29C4C724AFD239E65
CRC32: d1e3e0f9
文件说明符 : C:/WINDOWS/Fonts/syn00-1A-4D-04-42-EF/system/inudhya.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:37
修改时间 : 2008-4-13 16:38:52
访问时间 : 2008-4-13 0:0:0
大小 : 95744 字节 93.512 KB
MD5 : 43b43c3f4df21581693325fefb6badbb
SHA1: DE31FA3BBDAC8C97EFC6F22555F1C9CE4A4B400B
CRC32: f7e92e9e
文件说明符 : C:/WINDOWS/system32/msepbe.dll
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 3450 字节 3.378 KB
MD5 : c28e98aef7e1e187862b7dc67410908c
SHA1: 4BCFCC6E6C586F2EF6F5DB59FAA435ED7183B334
CRC32: 6751ace3
文件说明符 : C:/WINDOWS/system32/lariytrz.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 12197 字节 11.933 KB
MD5 : af2b9f317b0ba883a40240fb3b296017
SHA1: C490C4861BB0BDE0CAF22A13400C464F9B5E252D
CRC32: d16afd36
文件说明符 : C:/WINDOWS/system32/crugd.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 17195 字节 16.811 KB
MD5 : fdaf47c5b65d64ea37eb3ac6fdcfbe14
SHA1: 95024945DF166D95557F42A06F6C8D23DB6F2425
CRC32: 37d01da0
文件说明符 : C:/WINDOWS/system32/ektvm.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 14677 字节 14.341 KB
MD5 : 670b7c198b67460e6868ff3f8fba318e
SHA1: 9DD9ED78D583FA2519E29B0B457F4F51D3464962
CRC32: 05fcd019
文件说明符 : C:/WINDOWS/system32/bjrvm.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 19549 字节 19.93 KB
MD5 : 2c489caa06c16bd0b26bec290b662f9d
SHA1: 03319EBFDC95205C1DBD04BEE3E74AB520D5BFBB
CRC32: 3b536589
文件说明符 : C:/WINDOWS/system32/fjyjy.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 10888 字节 10.648 KB
MD5 : ffffbf590963a1167412db4357167ddd
SHA1: 7113A68D8858DCD3CB1DC86BAD9E44B4558840AF
CRC32: 6c032731
文件说明符 : C:/WINDOWS/system32/rhs.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 12267 字节 11.1003 KB
MD5 : fe08c2bef0b70bfc63d47a5456a0afe8
SHA1: FAEA8FB086FC7E31A4C21EC1BA40B5D9F15D0607
CRC32: b20fbbef
文件说明符 : C:/WINDOWS/system32/ijatnaw.dll
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:17:30
修改时间 : 2008-4-12 21:46:40
访问时间 : 2008-4-13 0:0:0
大小 : 9850 字节 9.634 KB
MD5 : 9452363c8c52251ca802c7d3d86633c6
SHA1: B6D59CC8C611D6CBFB63528156A481EBE4D10668
CRC32: bc8b92b9
文件说明符 : C:/WINDOWS/system32/oqrthc.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 13363 字节 13.51 KB
MD5 : 121db5e86c605a22808a1afbbe8c06b1
SHA1: CF016C08E9FB0FA6E7F171C6748C70075EC50A55
CRC32: 6f2810ec
文件说明符 : C:/WINDOWS/system32/hfjg.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-4-16 23:54:26
修改时间 : 2007-4-16 23:54:26
访问时间 : 2008-4-13 0:0:0
大小 : 11719 字节 11.455 KB
MD5 : b65f90dce41cc70229244a26c393c26c
SHA1: 98B8F1292C2621BF14BDD798D4352A6740B6CF08
CRC32: 2adac558
文件说明符 : C:/WINDOWS/system32/xgnfn.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2008-4-12 20:16:55
修改时间 : 2008-4-12 20:16:56
访问时间 : 2008-4-13 0:0:0
大小 : 10657 字节 10.417 KB
MD5 : 8c21c2e55702c8a8c5d62cd51ad17a04
SHA1: 64FB7334D1124BA253B55C79997281BA41AFB829
CRC32: 8472f760
4439
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
