遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等

最新推荐文章于 2011-08-25 16:25:02 发布
最新推荐文章于 2011-08-25 16:25:02 发布
阅读量242 收藏
点赞数
文章标签: 操作系统

遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等

endurer 原创
2007-11-20 第1

今天中午,一位网友说她的电脑中毒了,开不了网页,让偶通过QQ远程协助帮忙检修。

先看瑞星的历史记录:
/---
病毒名称 处理结果 扫描方式 路径 文件 病毒来源
Trojan.Win32.Mnless.zjb 删除成功 手动扫描 C:/WINDOWS/system32/drivers pcibus.sys 本机
Trojan.PSW.Win32.SunOnline.gc 删除成功 手动扫描 c:/windows/system32 qjatl.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.zm 删除成功 手动扫描 c:/windows/system32 gjatl.dll>>upack0.34 本机
Trojan.PSW.Win32.DJOnline.as 删除成功 手动扫描 c:/windows/system32 djatl.dll>>upack0.34 本机
Trojan.PSW.Win32.TLOnline.jjk 删除成功 手动扫描 c:/windows/system32 tlatl.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.aea 删除成功 手动扫描 c:/windows/system32 dthxatl.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.ahg 删除成功 手动扫描 C:/WINDOWS/system32 LotusHlp.dll 本机
Worm.Win32.PaBug.dv 删除成功 手动扫描 c:/windows/system32 qqsetupe.log>>upx_c 本机
AdWare.Win32.Dodolook.ff 需要解压缩后杀毒 手动扫描 C:/WINDOWS/system32 qqsetupt.log>>$[30]/01.exe>>aspr.ske.2.x 本机
Trojan.PSW.Win32.LMir.yys 删除成功 手动扫描 C:/WINDOWS 49400MM.DLL 本机
Trojan.PSW.Win32.Woool.c 删除成功 手动扫描 C:/WINDOWS 49400WL.DLL 本机
Trojan.PSW.Win32.GameOnline.ahg 删除成功 手动扫描 c:/windows lotushlp.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOnline.ahb 删除成功 手动扫描 c:/documents and settings/user/local settings/temp tmp2f2.tmp>>upack0.34 本机
Trojan.PSW.Win32.QQPass.yxt 删除成功 手动扫描 c:/documents and settings/user/local settings/temp tmp2f6.tmp>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.yd 删除成功 手动扫描 c:/documents and settings/user/local settings/temp tmp306.tmp>>upack0.34 本机
Trojan.Win32.Mnless.zgw 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt rl[1].exe>>upack0.39 本机
Trojan.PSW.Win32.GameOnline.adu 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt 15[1].exe>>upack0.36 本机
Trojan.PSW.Win32.ZhengTu.ylt 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt 16[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.aeh 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt 21[1].exe>>upack0.36 本机
Trojan.PSW.Win32.QQPass.yxt 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/1n9ozejy 4[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.aen 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/1n9ozejy 17[1].exe>>nspack 本机
Trojan.PSW.Win32.GameOnline.aei 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/1n9ozejy 23[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.ahg 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/hy45k8y7 24[1].exe>>upack0.39 本机
Trojan.PSW.Win32.GameOnline.aha 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej 5[1].exe>>nspack 本机
Trojan.PSW.Win32.DJOnline.as 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej 12[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.ahb 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej 7[1].exe>>upack0.34 本机
Worm.Win32.PaBug.dv 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej about[1].gif>>upx_c 本机
Dropper.Win32.XYOnline.v 删除成功 手动扫描 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/YN87TMZI 1[1].exe 本机
Trojan.PSW.Win32.WoWar.afd 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/yn87tmzi 18[1].exe>>upack0.36 本机
AdWare.Win32.Dodolook.ff 需要解压缩后杀毒 手动扫描 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/YN87TMZI link[1].gif>>$[30]/01.exe>>aspr.ske.2.x 本机
Trojan.Script.JS.Agent.i 删除成功 手动扫描 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/49MBK523 haha[1].htm 本机
Trojan.PSW.Win32.GameOnline.aen 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/49mbk523 19[1].exe>>nspack 本机
Trojan.PSW.Win32.SunOnline.fy 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/sdyj0dmf 10[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.aey 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/sdyj0dmf 20[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.zm 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/oper0pqf 11[1].exe>>upack0.36 本机
Worm.Win32.PaBug.dv 删除成功 手动扫描 c:/program files/internet explorer/plugins syswin7k.jmp>>upx_c 本机
Trojan.Win32.Sharer.d 删除成功 手动扫描 c:/program files/装机人员工具/oem-diy 品牌自己做 5.0 guide.exe>>Aspack212r 本机
---/

下载 pe_xscan 扫描 log 并分析,发现如下可疑项:

/---
pe_xscan 07-07-24 by Purple Endurer
2007-11-20 13:27:53
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
C:/WINDOWS/system32/GenProtect.dll | 2007-11-20 13:18:36

C:/WINDOWS/Explorer.EXE * 1860 | 2007-6-13 21:21:56 | Microsoft(R) Windows(R) Operating System | 6.00.2900.3156 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/WINDOWS/system32/zwth1i2c4s.dll
C:/WINDOWS/system32/GenProtect.dll | 2007-11-20 13:18:36
C:/Program Files/TENCENT/SSPlus/SAddr.dll | 2007-11-6 9:22:28 | SAddr Module | 5, 0, 2, 10 | | | 5, 0, 2, 10 | Tencent | | SAddr.dll |

C:/WINDOWS/SOUNDMAN.EXE * 416 | 2006-3-2 7:22:4 | Realtek Sound Manager | 5, 1, 0, 52 | Realtek Sound Manager | Copyright (c) 2001-2004 Realtek Semiconductor Corp. | 5, 1, 0, 52 | Realtek Semiconductor Corp. | | ALSMTray | ALSMTray.exe
C:/WINDOWS/system32/GenProtect.dll | 2007-11-20 13:18:36

C:/WINDOWS/system32/ctfmon.exe * 1692 | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
C:/WINDOWS/system32/GenProtect.dll | 2007-11-20 13:18:36

C:/Program Files/QQ2006/QQ.EXE * 2600 | 2007-7-19 16:27:2 | QQ | 7,0,365,1701 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT | | COMQQD | QQ.exe
C:/WINDOWS/system32/GenProtect.dll | 2007-11-20 13:18:36

C:/Program Files/QQ2006/TIMPlatform.exe * 2624 | 2006-8-15 17:39:48 | tencent TIMPlatform | 0, 3, 1, 8 | TIMPlatform | Copyright ? 2005 | 0, 3, 1, 8 | tencent | | TIMPlatform | TIMPlatform.exe
C:/WINDOWS/system32/GenProtect.dll | 2007-11-20 13:18:36

O2 - BHO Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:/Documents and Settings/All Users/Application Data/Microsoft/PCTools/pctools.dll

O4 - HKLM/../Run: [stup.exe] C:/PROGRA~1/TENCENT/Adplus/stup.exe
O4 - HKLM/../Run: [GenProtect] C:/WINDOWS/ylgazb.exe

O10 - 未知LSP: c:/windows/system32/videodevice.dll

O11 - IE扩展选项组:TBH (中文搜搜) =

O23 - 服务: jxlbod (jxlbod) - System32/DRIVERS/jxlbod.sys(引导)
O23 - 服务: m03f2e (m03f2e) - C:/WINDOWS/system32/drivers/m03f2e.sys | 2004-8-17 12:0:0(自动)

O24 - ShlExecHook: [C] - {4DF4F122-943D-40f8-B3F2-72BD70E60D6C} = C:/WINDOWS/system32/ProcSvr01.dll
O24 - ShlExecHook: [2] - {52B1B604-A461-42e0-9801-BE06A5B05362} = C:/WINDOWS/system32/SVCCtrl01.dll
O24 - ShlExecHook: [] - {A12C8D43-AC10-4C17-9136-E3E2FC9B3D21} = C:/Program Files/Internet Explorer/PLUGINS/Wn_Sys8x.Sys
---/

卸载腾讯地址栏搜索,中文搜搜

启动卡卡安全助手,先在[基本功能]—>[查杀恶意及流氓软件],扫描并清理流氓软件
然后在[高级功能]—>[插件管理及卸载]里把 3 个O24 项卸载掉。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[驱动],在右边找到两个 O23项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[IE及系统修复]里,可以看到导致网页打不开的原凶——红色显示的c:/windows/system32/videodevice.dll,修复。

接下来现在要处理的文件有:

C:/WINDOWS/ylgazb.exe
C:/WINDOWS/system32/1.exe(用WinRAR检查时发现的)
C:/WINDOWS/system32/ProcSvr01.dll
C:/WINDOWS/system32/SVCCtrl01.dll
C:/WINDOWS/system32/GenProtect.dll
C:/WINDOWS/system32/zwth1i2c4s.dll
C:/WINDOWS/System32/DRIVERS/jxlbod.sys
C:/WINDOWS/system32/drivers/m03f2e.sys
C:/Program Files/Internet Explorer/PLUGINS/Wn_Sys8x.Sys

http://purpleendurer.ys168.com 下载 bat_do 和FileInfo。

用 FileInfo 提取文件信息,用 bat_do 打包备份,延时删除,生成去除属性,删除,改名命令,下次启动时执行。

其中C:/WINDOWS/system32/zwth1i2c4s.dll无法操作, 到http://endurer.ys168.com 下载 IceSword,复制了一个,然后强制删除。

用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。

重启电脑~

iteye_6637
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic , At your OWN risk .
清除Trojan.PSW.WoWar.qq等木马
Purpleendurer@CSDN
11-13 3878
endurer 原创2006-11-13 第1版昨晚,一位网友的电脑,瑞星不停地报告发现木马Trojan.PSW.WoWar.qq,文件为C:/WINDOWS/system32/dllms.dll,点击清除按钮,瑞星则提示下次启动时删除。让偶帮忙检查。从 http://endurer.ys168.com 下载 HijackThis扫描 log,发现如下可疑项目:/--------Log
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
Purpleendurer@CSDN
06-16 3192
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2endurer 原创 2008-06-16 第1版(继1)到 http://purpleendurer.ys168.com下载 FileInfo、bat_do。先用FileInfo 提取log中的红色标记的文件的信息,然后把log中的红色标记的文件加入/拖入 bat_do,全选,用
Trojan/Win32.QQpass.wsy[stealer]分析
安全小站
08-25 1901
Trojan/Win32.QQpass.wsy[stealer]分析 出处:安天实验室 时间:2011年8月22日   病毒标签   病毒名称:Trojan/Win32.QQpass.wsy[stealer]
盗号木马Trojan-PSW.Win32.OLGame.vdh
04-03 1428
Trojan-PSW.Win32.OLGame.vdh捕获时间2008-03-27病毒症状  该病毒是使用VC编写的盗号程序,由微点主动防御软件自动捕获,采用UPack加壳方式试图躲避特征码扫描,加壳后长度为19,936字节,图标为Windows默认可执行文件图标,病毒扩展名为exe,主要通过网页木马、文件捆绑方式传播。病毒分析  该木马程序运行后,检测系统中是否存在avp.exe进程,如果有则通
trojan-1.16.0-win.zip
04-01
trojan
js.scob.trojan.nasl
最新发布
11-08
js.scob.trojan
2020年trojan最新windows64客户端trojan-1.15.1-win.zip
04-14
2020年trojan最新windows64客户端
AxureRP 9.0.0.3714.7z
09-30
AxureRP 9.0.0.3714.7z
QQpass
02-23
只用与学习
laravel-5.2.31.zip
05-26
laravel-5.2.31
trojan-qt5.tar.gz
04-09
trojan-qt5 for linux
敲诈者(Trojan.Disclies.e)解决方案
03-04
敲诈者木马程序以敲诈勒索钱财为目的,使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏,造成用户数据丢失。截至目前为止,在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。...
trojan-qt5.app.zip
04-06
trojan-qt5.app.zip
遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2
Purpleendurer@CSDN
11-22 4535
遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2endurer 原创2007-11-22 第1版检查发现 除C盘外的其它盘上的EXE文件的最后修改时间相似,文件大小增长,如HijackThis 1.99.1英文版本的文件,正常大小为 218,112 字节,被感染后的 223,585 字节,应该是被感
bsko.rar_trojan
09-19
Very complete a Trojan program, can also chat, source function is complete
aqe.zip_TROJAN SAMPLE
09-24
JUST A TROJAN SAMPLE TO ACTIVE MY ACCOUNT
Trojan-Qt5-Windows.zip
03-14
V0.0.4c The Emergency Bug Fix for V0.0.4b V0.0.4b的紧急Bug修复 @TheWanderingCoel TheWanderingCoel released this 3 hours ago This is a version only contain these bug fixes: [Bug Fix] Fix Safari ...
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
首先,关闭所有正在运行的程序,然后按照以下步骤手动查杀Trojan-Downloader.Win32.Agent.bbb木马: 1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值