又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等

最新推荐文章于 2021-09-01 16:55:13 发布

iteye_6637

最新推荐文章于 2021-09-01 16:55:13 发布

阅读量140

点赞数

又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等

 原创
2008-01-31 第版

一位网友反映，他的电脑最近经常弹出广告窗口，请偶帮忙检查。

下载 pe_xscan 扫描 log 并要析，发现如下可疑项：
/===
pe_xscan 08-01-29 by Purple Endurer
2008-1-31 12:24:24
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process]  0 
　　 2008-1-15 11:3:50  SPlus Module  5, 0, 3, 11   腾讯科技（深圳）有限公司 版权所有 (C) 2007  5, 0, 3, 11  TENCENT   SPlus.dll  SPlus.dll 
　　 2008-1-31 9:15:36 
C:/WINDOWS/EXPLORER.EXE 836  2007-6-13 21:21:56  Microsoft(R) Windows(R) Operating System  6.00.2900.3156  Windows Explorer  (C) Microsoft Corporation. All rights reserved.  6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)  Microsoft Corporation ?  explorer  EXPLORER.EXE 
　　 2008-1-31 9:15:36 
　　 2008-1-15 11:3:50  SPlus Module  5, 0, 3, 11   腾讯科技（深圳）有限公司 版权所有 (C) 2007  5, 0, 3, 11  TENCENT   SPlus.dll  SPlus.dll 
　　 2007-8-8 9:55:48  电子商务工具条  3, 5, 2, 1002  Assist Module  Copyright 2007 Yahoo! China  3, 5, 2, 1002  Alibaba  Alibaba  yAssist  yAssist.DLL 
C:/WINDOWS/SYSTEM32/RUNDLL32.EXE 1500  2004-8-17 12:0:0  Microsoft(R) Windows(R) Operating System  5.1.2600.2180  Run a DLL as an App  (C) Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  rundll  RUNDLL.EXE 
　　 2008-1-15 11:3:50  SPlus Module  5, 0, 3, 11   腾讯科技（深圳）有限公司 版权所有 (C) 2007  5, 0, 3, 11  TENCENT   SPlus.dll  SPlus.dll 
　　 2008-1-31 9:15:36 
C:/WINDOWS/SYSTEM32/CTFMON.EXE 1644  2004-8-17 12:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  CTF Loader  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  CTFMON  CTFMON.EXE 
　　 2008-1-15 11:3:50  SPlus Module  5, 0, 3, 11   腾讯科技（深圳）有限公司 版权所有 (C) 2007  5, 0, 3, 11  TENCENT   SPlus.dll  SPlus.dll 
　　 2008-1-31 9:15:36 
C:/PROGRAM FILES/QQ2006/QQ.EXE  2808  2007-12-19 19:28:20  QQ  7,0,365,1701  QQ  Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved  7,0,365,1701  TENCENT   COMQQD  QQ.exe 
　　 2008-1-31 9:15:36 
　　 2008-1-15 11:3:50  SPlus Module  5, 0, 3, 11   腾讯科技（深圳）有限公司 版权所有 (C) 2007  5, 0, 3, 11  TENCENT   SPlus.dll  SPlus.dll

O2 - BHO - {9963387B-212E-4643-B207-82DAEA0E713D} -C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WN_SYS8X.SYS
O2 - BHO - {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.WIN
O2 - BHO - {C5E87A05-F463-4841-B19E-DD3EC3862368} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS
O2 - BHO - {EE12D60D-AD9A-4095-B839-3BE6862679FD} -C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.DAT
O2 - BHO ASSIST - {FE3FCAE7-0A37-4506-8A7D-3CC9A04D2CA8} -C:/PROGRAM FILES/ALISOFT/TOOLBAR/ASSIST/YASSIST.DLL

O3 - IE工具栏: 淘宝工具条 - {78B2F60E-AFA5-4D3D-A49E-2BFF013D9D23} -C:/PROGRA~1/ALISOFT/TOOLBAR/ASSIST/YASBAR.DLL

O4 - HKLM/../RUN: [STUP.EXE] RUNDLL32.EXEC:/PROGRA~1/TENCENT/SSPLUS/SPLUS.DLL ,Rundll32 R

O11 - IE扩展选项组：TBH (中文搜搜) =

O24 - SHLEXECHOOK: [WINDOWS] - {1AD50A6B-2E1B-417F-A1EB-BB539E9EA06E} =C:/DOCUME~1/user/LOCALS~1/TEMP/TMP152HR.DLL
O24 - SHLEXECHOOK: [] - {9963387B-212E-4643-B207-82DAEA0E713D} =C:/PROGRAM FILES/INTERNET EXPLORER/PLUGINS/WN_SYS8X.SYS
O24 - SHLEXECHOOK: [4] - {4FA10261-B890-F432-A453-69F1023513F4} =C:/WINDOWS/FONTS/GJCSDYC.DLL
O24 - SHLEXECHOOK: [] - {C5E87A05-F463-4841-B19E-DD3EC3862368} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.SYS
O24 - SHLEXECHOOK: [] - {EE12D60D-AD9A-4095-B839-3BE6862679FD} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.DAT
O24 - SHLEXECHOOK: [] - {A45B2C37-01D0-4D3E-BE5E-CC119B17BE9E} =C:/PROGRAM FILES/INTERNET EXPLORER/IEXPLORE32.WIN
===/

先卸载中文搜搜。

到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。

用 FileInfo 提出文件信息。

把log中的红色显示的文件加入bat_do的待处理文件列表，全选，延时删除。然后选择其中一部分打包备份。再全选，改所选文件名，延时删除。

下载安装瑞星卡卡安全助手并运行，查杀了1个流氓软件，然后在高级功能—＞[插件管理及卸载] 里把O2 和O24 项卸载掉

下载 Dr.Web CureIt! 扫描，结果如下：
/---
>>C:/Documents and Settings/user/Local Settings/Temp/tmp19.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp158.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmpB.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmp15.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp29.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/c8.jpg.exe 已被病毒感染： Trojan.PWS.Gamania.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/sa.jpg.exe 已被病毒感染： Trojan.PWS.Legmir.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/banner.jpg 已被病毒感染： Trojan.PWS.Legmir.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmp24.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp2E.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp40.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmp3A.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmp48.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp56.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp4F.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmp4A.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>C:/Documents and Settings/user/Local Settings/Temp/tmp50.tmp 已被病毒感染： Trojan.PWS.Gang.origin - 无法修复 - 已删除

>>C:/Documents and Settings/user/Local Settings/Temp/tmp5D.tmp 已被病毒感染： Trojan.PWS.Lineage.origin - 无法修复 - 已删除

C:/Program Files/Alisoft/Toolbar/alilive.exe 是广告软件 Adware.Yassist
C:/Program Files/Alisoft/Toolbar/Assist/sremove.exe 是广告软件 Adware.Yassist
---/

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.ime
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:38:9
修改时间 : 2008-1-31 9:34:40
访问时间 : 2008-1-31 0:0:0
大小 : 24203 字节 23.651 KB
MD5 : d4e88aca1c740d66dd41f773e4ae622c
SHA1: 4FEE9BCD6D86E05C791C960FEBC16DFA50F762AB
CRC32: 1b244c2e

Panda　9.0.0.4　2008.01.30　Trj/Lineage.GND

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:48:37
修改时间 : 2008-1-31 8:49:54
访问时间 : 2008-1-31 0:0:0
大小 : 26777 字节 26.153 KB
MD5 : 4bcc4cc9a02dbdb5ccbe7306ce55b12e
SHA1: 6263960D48CB122A2210522F178EFDFCA3B973D9
CRC32: d1f76090

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE32.New
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 16:48:38
修改时间 : 2008-1-31 9:34:40
访问时间 : 2008-1-31 0:0:0
大小 : 23670 字节 23.118 KB
MD5 : f6c372a34e9faaf96ff4d622b8377826
SHA1: FC7EB880F31C52741B24DC6AE1099F5C11384126
CRC32: 6556805f

Panda　9.0.0.4　2008.01.30　Trj/Lineage.GND

文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/Sy_Win7k.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-1-27 13:12:56
修改时间 : 2008-1-31 8:58:26
访问时间 : 2008-1-31 0:0:0
大小 : 34420 字节 33.628 KB
MD5 : 7daf501041f5241b2f13ce209e4fcfdd
SHA1: 9DAA180C7BE70F6531B7E2B1F498EA2F0116B0B1
CRC32: 237abf75

iteye_6637

关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等

又遇IEXPLORE32.WIN,IEXPLORE32.SYS,WN_SYS8X.SYS,GJCSDYC.DLL等endurer 原创2008-01-31 第1版一位网友反映，他的电脑最近经常弹出广告窗口，请偶帮忙检查。下载 pe_xscan 扫描 log 并要析，发现如下可疑项：/===pe_xscan 08-01-29 by Purple Endurer2008-1-31 12:2...
复制链接

扫一扫