遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2

遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2

endurer 原创
2008-05-21 第1版

（续：遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1）

到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do，用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息，用 bat_do 打包备份，延时删除。
同时下载 DrWeb CureIt! 扫描并清理病毒。

然后打开注册表编辑器 regedit，删除用来劫持瑞星卡卡安全助手的两项：

O26 - IFEO: ras -> svchost.exe
O26 - IFEO: Ras.exe -> C:/WINDOWS/system32/svchost.exe

对应的注册表项。

下载 瑞星卡卡安全助手 准备清理启动项，不料安装时电脑自动重启了～

那就将计就计，进入安全模式，彻底清理了一下，在C:/Program Files/Internet Explorer/PLUGINS下发现还有一个扩展名为.tmp的东东，也删除了。

用WinRAR 删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

重启电脑，再次安装瑞星卡卡安全助手，这次很顺利。

启动瑞星卡卡安全助手，自动检测出N个恶意和流氓软件，清理了

然后选[高级功能]->[插件管理及卸载]，把 O2、O24 项卸载掉
在[高级功能]—＞[系统启用项管理]里，在左边点击[登录项]，在右边找到 O4 项对应的项目，右击，从弹出的菜单里选择删除。
在[高级功能]—＞[系统启用项管理]里，在左边点击[应用程序初始化动态连接库]，在右边找到 O20 项对应的项目，右击，从弹出的菜单里选择删除。
在[高级功能]—＞[系统启用项管理]里，在左边分别点击[服务项]和[驱动]，在右边找到 O23 项对应的项目，右击，从弹出的菜单里选择删除。
在[高级功能]—＞[系统启用项管理]里，在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。
在[高级功能]—＞[IE及操作系统修复]里，点击[修复]按钮

部分病毒文件信息：

文件说明符 : C:/WINDOWS/anistio.exE
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:3:28
修改时间 : 2008-5-18 22:3:30
访问时间 : 2008-5-19 0:0:0
大小 : 16201 字节 15.841 KB
MD5 : e32230ed6197e2e21796eb66e6b013f5
SHA1: B59E4B2C1AAA38A7299333340983E4C3B6276788
CRC32: eaca7c33

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.adqo，瑞星报为Trojan.PSW.Win32.GameOL.gbk

文件说明符 : C:/WINDOWS/fmsiocps.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:3:19
修改时间 : 2008-5-18 22:3:20
访问时间 : 2008-5-19 0:0:0
大小 : 19740 字节 19.284 KB
MD5 : f434c3dd5528af4ebf617a546f863e9b
SHA1: CE50287E35D1BD748D2B48949F47ADD75E83EE66
CRC32: 58465224

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aiol[KLAB-5046279]

文件说明符 : C:/WINDOWS/bdsclk.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1， 0， 0， 1
说明 : Microsoft 基础类应用程序
版权 : 版权所有 (C) 2005
产品版本 : 1， 0， 0， 1
产品名称 : Microsoft 应用程序
创建时间 : 2007-12-11 17:43:36
修改时间 : 2007-12-11 17:43:38
访问时间 : 2008-5-19 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 6085f2ff15282611fd82f9429d82912b
SHA1: F4006630B58D5DEEECD9DFA4E85149644846A0BA
CRC32: f90c3414

卡巴斯基报为 Trojan-Downloader.Win32.Adload.afb[KLAB-5046285]，瑞星报为Trojan.DL.Win32.Mnless.kj

文件说明符 : C:/WINDOWS/AdsNT.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1， 0， 0， 1
说明 : AdsNT Microsoft 基础类应用程序
版权 : 版权所有 (C) 2005
产品版本 : 1， 0， 0， 1
产品名称 : AdsNT 应用程序
内部名称 : AdsNT
源文件名 : AdsNT.EXE
创建时间 : 2008-1-23 16:26:16
修改时间 : 2008-5-18 20:39:48
访问时间 : 2008-5-19 0:0:0
大小 : 11264 字节 11.0 KB
MD5 : 7dee5ef885eeaed477f9ae28844eea80
SHA1: 80755EEBAF91651D08CCE6D76A271F82FE4C7478
CRC32: 31f84a4f

文件说明符 : C:/WINDOWS/AutoUp.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1， 0， 0， 1
说明 : AutoUp Microsoft 基础类应用程序
版权 : 版权所有 (C) 2005
产品版本 : 1， 0， 0， 1
产品名称 : AutoUp 应用程序
内部名称 : AutoUp
源文件名 : AutoUp.EXE
创建时间 : 2002-1-10 15:44:37
修改时间 : 2002-2-9 18:33:20
访问时间 : 2008-5-19 0:0:0
大小 : 8192 字节 8.0 KB
MD5 : 8aceb6fefe55d9cb22695bcc793f8060
SHA1: 1EB4F6AAA6A04FDD495FB959CD4B24A0EBD3C062
CRC32: 55306533

卡巴斯基报为 Trojan-Downloader.Win32.Agent.jie，瑞星报为Trojan.Clicker.Win32.Agent.yny

文件说明符 : C:/WINDOWS/system32/usrinit.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1， 0， 0， 1
说明 : usrinit Microsoft 基础类应用程序
版权 : 版权所有 (C) 2005
产品版本 : 1， 0， 0， 1
产品名称 : usrinit 应用程序
内部名称 : usrinit
源文件名 : usrinit.EXE
创建时间 : 2002-1-9 19:50:18
修改时间 : 2008-5-12 16:52:34
访问时间 : 2008-5-19 0:0:0
大小 : 9728 字节 9.512 KB
MD5 : 70657c09c5462e7d1ae54871040ccd18
SHA1: F667EB0C300DE7C76B86D00581AF71B339591FA7
CRC32: 82bafc88

卡巴斯基报为 Trojan-Downloader.Win32.Adload.aej，瑞星报为Trojan.DL.Win32.Undef.mf

文件说明符 : C:/WINDOWS/isndntio.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:9:1
修改时间 : 2008-5-18 22:9:2
访问时间 : 2008-5-19 0:0:0
大小 : 16144 字节 15.784 KB
MD5 : e27af63fc2f87a2ee624d23180d17d18
SHA1: 8C5022503FCC75D47B22F13E3D7A96AC485EF25B
CRC32: 6cb7ac28

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aieq，瑞星报为Trojan.PSW.Win32.GamesOnline.zv

文件说明符 : C:/WINDOWS/cinfonmc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:8:26
修改时间 : 2008-5-18 22:8:26
访问时间 : 2008-5-19 0:0:0
大小 : 18717 字节 18.285 KB
MD5 : 370b0ac95b8249c33af36b9354ddc2d4
SHA1: 00909176063C9C5C103CC7978B3523938A0BA0C6
CRC32: 35d31a71

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ygb，瑞星报为Trojan.PSW.Win32.GameOL.gbk

文件说明符 : C:/WINDOWS/fmbiost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:7:38
修改时间 : 2008-5-18 22:7:38
访问时间 : 2008-5-19 0:0:0
大小 : 19049 字节 18.617 KB
MD5 : b2aee722a96f44cdd0f128685e69dc7e
SHA1: D001E44A465633B71862980935B9BC817A822DD4
CRC32: db7cc00d

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.acnp，瑞星报为Trojan.PSW.Win32.GameOL.nkd

文件说明符 : C:/WINDOWS/WINSvr64.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:6:56
修改时间 : 2008-5-18 22:6:58
访问时间 : 2008-5-19 0:0:0
大小 : 19740 字节 19.284 KB
MD5 : d0b4217457fe451bd3d88bd1f284e1af
SHA1: 5DF671C2BC0E6DED5C96E3A8BA6FAC51144BA656
CRC32: f7ba35bf

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aioi[KLAB-5046299]

文件说明符 : C:/WINDOWS/dndsioc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:6:45
修改时间 : 2008-5-18 22:6:46
访问时间 : 2008-5-19 0:0:0
大小 : 18777 字节 18.345 KB
MD5 : c9a327c525ad7bd2392758f20addb4a8
SHA1: 5AE816D11CD359518445549985548F20EF3BDF3A
CRC32: 3f07b856

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.acnp，瑞星报为Trojan.PSW.Win32.GameOL.njs

文件说明符 : C:/WINDOWS/mfchlp64.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:6:34
修改时间 : 2008-5-18 22:6:34
访问时间 : 2008-5-19 0:0:0
大小 : 17672 字节 17.264 KB
MD5 : ace47458170ae39a85f7747b74a60dd5
SHA1: 01F9F1E0C7E08492D315B795FD29DBA0DCA5B489
CRC32: 69651041

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aikm，瑞星报为Trojan.PSW.Win32.GameOL.nlv

文件说明符 : C:/WINDOWS/yuiabct.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:6:23
修改时间 : 2008-5-18 22:6:24
访问时间 : 2008-5-19 0:0:0
大小 : 20764 字节 20.284 KB
MD5 : 6d59229ec6a80f947ea7f32dd0495564
SHA1: 28AE7A76ED20B332342EE8490975267068ABCB81
CRC32: 4d90fb89

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ailf，瑞星报为Trojan.PSW.Win32.GameSOL.n

文件说明符 : C:/WINDOWS/huifitc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:6:11
修改时间 : 2008-5-18 22:6:12
访问时间 : 2008-5-19 0:0:0
大小 : 17176 字节 16.792 KB
MD5 : a15ad61db68cfeb8831cfc28cc83fc59
SHA1: 16E26B2D3F1CFE5178C9BEBA7A18119321D981C9
CRC32: 92ed6a56

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aimc

文件说明符 : C:/WINDOWS/ticisms.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:5:48
修改时间 : 2008-5-18 22:5:50
访问时间 : 2008-5-19 0:0:0
大小 : 20760 字节 20.280 KB
MD5 : 7ba9010a9d1fc81f83abb9255b5ff43a
SHA1: 5E840BE7C1DB6BACBA7F8937CD4F20D6DC0D93AC
CRC32: fca54254

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aioh[KLAB-5046314]

文件说明符 : C:/WINDOWS/ptshell.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:5:38
修改时间 : 2008-5-18 22:5:38
访问时间 : 2008-5-19 0:0:0
大小 : 19937 字节 19.481 KB
MD5 : 1166b0bced531382bbf99e180844699e
SHA1: 16EDE460655322DCB22290FAB2AE01A7292CE3CC
CRC32: 2235ece9

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aeka，瑞星报为Trojan.PSW.Win32.GameOL.njz

文件说明符 : C:/WINDOWS/agtpshsy.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:5:27
修改时间 : 2008-5-18 22:5:28
访问时间 : 2008-5-19 0:0:0
大小 : 20705 字节 20.225 KB
MD5 : 9d13a032ddbffaf32f51ccbc2c9b34d1
SHA1: 30F15902C1AEB5310301D4904CBB047A079F49C3
CRC32: ac9f1c67

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ahvj，瑞星报为Trojan.PSW.Win32.GameOL.nka

文件说明符 : C:/WINDOWS/fmsjhif.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:5:13
修改时间 : 2008-5-18 22:5:14
访问时间 : 2008-5-19 0:0:0
大小 : 19905 字节 19.449 KB
MD5 : a78b6db12e30387ad3339be3aec7a0d8
SHA1: FB75E5E6DC3C61707C715CDDA03628DB3DEBB82C
CRC32: 650221f3

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aiaq，瑞星报为Trojan.PSW.Win32.GameOL.nlt

文件说明符 : C:/WINDOWS/dbhlp32.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:5:3
修改时间 : 2008-5-18 22:5:4
访问时间 : 2008-5-19 0:0:0
大小 : 19373 字节 18.941 KB
MD5 : ba65362bc92c323060a4b69838065f11
SHA1: 5922AC55CAC947D98205C6422E79ECB3AA3C62E6
CRC32: b93a5cf4

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ygb，瑞星报为Trojan.PSW.Win32.GameOL.gbk

文件说明符 : C:/WINDOWS/bincdwsa.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:4:54
修改时间 : 2008-5-18 22:4:54
访问时间 : 2008-5-19 0:0:0
大小 : 17168 字节 16.784 KB
MD5 : 53f482cb014234aeccd60f20fc075b30
SHA1: 36A7121AC7EBD737BB84014FB00CF49A1203EAD3
CRC32: f3b5efc5

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aigr，瑞星报为Trojan.PSW.Win32.GameSOL.l

文件说明符 : C:/WINDOWS/tciocp64.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:4:35
修改时间 : 2008-5-18 22:4:36
访问时间 : 2008-5-19 0:0:0
大小 : 19728 字节 19.272 KB
MD5 : 4ae0bbe76438fa4d200f896009412744
SHA1: 7B55D76B7AD61D0CCA0B43AEE4E0BD9CA62A1A81
CRC32: 219c98ce

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aioe[KLAB-5046319]

文件说明符 : C:/WINDOWS/hefcndy.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:4:25
修改时间 : 2008-5-18 22:4:26
访问时间 : 2008-5-19 0:0:0
大小 : 18200 字节 17.792 KB
MD5 : 35de5d96b0760a9b44d3b115c1be6306
SHA1: 78E9A832C09184E24EFDAE4C6684E7B97C564C08
CRC32: bf010841

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aiij---Rising__Trojan.PSW.Win32.GameSOL.n

文件说明符 : C:/WINDOWS/dionpis.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:3:47
修改时间 : 2008-5-18 22:3:48
访问时间 : 2008-5-19 0:0:0
大小 : 20764 字节 20.284 KB
MD5 : 86000f25a7a9d16e90456096c8b7c17b
SHA1: 286CD34E22666C9DCF371A0782501987D81605BB
CRC32: e49779c2

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aimb

文件说明符 : C:/WINDOWS/fmsbbqi.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:4:44
修改时间 : 2008-5-18 22:4:44
访问时间 : 2008-5-19 0:0:0
大小 : 19216 字节 18.784 KB
MD5 : 527a05accf77bbb4bd9d00a85f97b71c
SHA1: 29ABF886BDDEC1A410DFDB6553118F3837F98064
CRC32: 918f0e85

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aibk，瑞星报为Trojan.PSW.Win32.GameOL.nlv

文件说明符 : c:/program files/internet explorer/plugins/nt_sys32.sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-5-18 22:8:50
修改时间 : 2008-5-18 22:8:52
访问时间 : 2008-5-19 0:0:0
大小 : 44659 字节 43.627 KB
MD5 : d13b2b969e0bb1ffeb18c10927721454
SHA1: 79313D32A8020F7D6BEC5175B68384CC2F1AC3A8
CRC32: 76aa7256

卡巴斯基报为 Trojan-PSW.Win32.QQPass.btc，瑞星报为Worm.Win32.PaBug.gy