遭遇_unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等2

遭遇_unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等2

endurer 原创 2008-07-02 第1版

到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。

用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息；用 bat_do 打包备份，延时删除，改所选文件名，再延时删除。

虽然该电脑中装有金山的KIS，但病毒还是进来了，所以偶还是下载 DrWeb CureIt! 来查杀病毒。

下载瑞星卡安全助手安装并运行，切换到[高级功能]->[插件管理及卸载]，把 O2、O21、O24 项卸载掉

切换到[高级功能]->[系统启动项管理]

在左边点击[应用程序初始化动态连接库]，在右边找到 O20 项红色标记的文件名对应的项目，右击，从弹出的菜单里选择删除。

在左边分别点击[服务项]和[驱动]，找到 O23组的对应项，右击，从弹出的菜单中选择删除。

在左边点击[应用程序劫持项]，在右边找到 O26 项对应的项目，右击，从弹出的菜单里选择删除。

用WinRAR删除Windows临时文件夹，IE临时文件夹，c:/windows/prefetch 中可以删除的文件。

重启电脑~

这下电脑工作正常了

附部分恶意文件信息：

文件说明符 : c:/program files/internet explorer/plugins/unixsys08.sys 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:27:17 修改时间 : 2008-6-29 8:27:18 大小 : 44661 字节 43.629 KB MD5 : 1e30c8879cd4dbc91458bce725ab78fe SHA1: 0FE66254BF0584B4D085CD4DC098F5BDA1699352 CRC32: f2484a25

卡巴斯基报为 Trojan-PSW.Win32.QQPass.cdw

文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/UnixSys32.Jmp 属性 : A--- 数字签名:否 PE文件:否 创建时间 : 2008-6-29 8:27:17 修改时间 : 2008-6-29 8:27:20 大小 : 30837 字节 30.117 KB MD5 : 01cb7144c7bc7db5c71359b8d51a60bb SHA1: 5CC0452EDE72273A0CF4B13CB81EBC0759999186 CRC32: 1e7647d3

文件说明符 : C:/WINDOWS/system32/ozfyebyt.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:12 修改时间 : 2004-8-8 8:24:14 大小 : 534024 字节 521.520 KB MD5 : 6a4e6a70dfa3f081f2ed0fbaa99cf08a SHA1: 0B2083CDD0C6F0F8CBEA9817514603245C67F193 CRC32: 8e0e5fbf

文件说明符 : C:/WINDOWS/system32/rfdswc.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:24:14 修改时间 : 2008-6-29 8:24:16 大小 : 258048 字节 252.0 KB MD5 : 2e0044cad437ee3217f5ec52517b0dc7 SHA1: A846FE6AE16681BA92E00C8326D7C531C40E4E7C CRC32: f176fb9a

文件说明符 : C:/WINDOWS/system32/mpwdeapi.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:19 修改时间 : 2004-8-8 8:24:20 大小 : 538120 字节 525.520 KB MD5 : 0cbce4767211fcecca68bb9dd4ffb314 SHA1: B12CEA9338F61DC9A59030BBDB421AB036177844 CRC32: 475d8af3

文件说明符 : C:/WINDOWS/system32/pedadt.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:24:30 修改时间 : 2008-6-29 8:24:32 大小 : 229376 字节 224.0 KB MD5 : 3f0946ac62ce64ae616d4dfdbf3fa80b SHA1: AA28C3BEAF1CA3C0780FF61DBB6A9F7B45D01F1D CRC32: 98ab9fff

文件说明符 : C:/WINDOWS/system32/apzhctde.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:36 修改时间 : 2004-8-8 8:24:38 大小 : 538120 字节 525.520 KB MD5 : 870115f4e20c36fc3d42d910859cdc9d SHA1: 8D2E0B24A90EB4A73F85C7347DF9ACB702C91172 CRC32: 315bb340

文件说明符 : C:/WINDOWS/system32/zxmsdwin.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:25:44 修改时间 : 2004-8-8 8:25:46 大小 : 536584 字节 524.8 KB MD5 : def7e2e36b392188a16a1b2506125116 SHA1: 5714E4CC975EF5BA611238CB178913D3DA81B20B CRC32: 3c3d644b

文件说明符 : C:/WINDOWS/system32/cedafb.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:25:44 修改时间 : 2008-6-29 8:25:46 大小 : 229376 字节 224.0 KB MD5 : f99a342d53a3292bb12d339e1cfaba76 SHA1: 55ADAB1B1CFDAE368F81BD89B75211B967830F6F CRC32: 0727ef6b

文件说明符 : C:/WINDOWS/system32/hdf453d.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:25:52 修改时间 : 2004-8-8 8:25:54 大小 : 538632 字节 526.8 KB MD5 : 3ff52bbc76fe08e94fce271be396f071 SHA1: B833BF6F4A2EEEDAF4E1FF6641F6A2753774B45C CRC32: dd9e8672

文件说明符 : C:/WINDOWS/system32/rijxbkin.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:25:55 修改时间 : 2004-8-8 8:25:56 大小 : 536584 字节 524.8 KB MD5 : 1307972648a848fa361d6bf093e62b56 SHA1: 187D44913B96462A041D188352C8E2A3121F8652 CRC32: 443ee474

文件说明符 : C:/WINDOWS/system32/MMHADPQG1097.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:1 修改时间 : 2008-6-29 8:26:2 大小 : 10384 字节 10.144 KB MD5 : d9b67f649d74aad71384804f5e118bc9 SHA1: A3A36DA7E3DB9DE3D4FEAD3CD58D74E649DF1120 CRC32: d14848f5

文件说明符 : C:/WINDOWS/system32/mndshsrv.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:26:4 修改时间 : 2004-8-8 8:26:6 大小 : 534024 字节 521.520 KB MD5 : 62e53a33a5e1218cee9f14790b8f86ba SHA1: 4EE7F2E4D7FF4930907E2CB1812F4691057B08C1 CRC32: 52a3b6de

文件说明符 : C:/WINDOWS/system32/tdffdl.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:7 修改时间 : 2008-6-29 8:26:8 大小 : 225792 字节 220.512 KB MD5 : 0e2bfdc585e01797497ed52e8690bdf6 SHA1: 7D0E01712A6224BBA41F4418566B761C01444B89 CRC32: 6fbb6387

文件说明符 : C:/WINDOWS/system32/apsggjba.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:26:12 修改时间 : 2004-8-8 8:26:14 大小 : 537608 字节 525.8 KB MD5 : 18e4ff5e24d4df2ac0659071bd92d621 SHA1: 0CC206C1584FFFE90043EB4167A112DD0AA3834B CRC32: bf91ce2e

文件说明符 : C:/WINDOWS/system32/pjjxedwd.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:26:17 修改时间 : 2004-8-8 8:26:18 大小 : 535560 字节 523.8 KB MD5 : fb6e8abdfc9e9d98542ca599bde2a41a SHA1: 3C6E37FE66BCBD8FE25FF82C8DB1E9CF7FFC639C CRC32: 90338d23

文件说明符 : C:/WINDOWS/system32/catsrvwl.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2001-6-29 8:26:16 修改时间 : 2001-6-29 8:26:18 大小 : 830752 字节 811.288 KB MD5 : 29884f6a2ab6884ff6f024f3f8a33f8b SHA1: 87DE1539478C0200D5CFDA2F60A9B906A79C2635 CRC32: 5fbafc54

文件说明符 : C:/WINDOWS/system32/yxcschlp.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:26:19 修改时间 : 2004-8-8 8:26:20 大小 : 534024 字节 521.520 KB MD5 : a24fbc1666db42c02d5bda42bfc5d573 SHA1: 167CD35E7B8AF7F16A33D2DEA4ED7854557A5E25 CRC32: dfea5b5b

文件说明符 : C:/WINDOWS/system32/mtewdh.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:26 修改时间 : 2008-6-29 8:26:28 大小 : 279552 字节 273.0 KB MD5 : fac436c76e16b06a734eed212300a903 SHA1: F86C700C3B8817CE12BA69A0183B4CB4CE4C762D CRC32: 3d27100f

文件说明符 : C:/WINDOWS/system32/kbdswjr.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2001-6-29 8:26:35 修改时间 : 2001-6-29 8:26:36 大小 : 966944 字节 944.288 KB MD5 : c18fce85d9bacd81d1444be6b8682948 SHA1: 5460632D1782929977D6CDAEC8573FCE411DA519 CRC32: 4b97cff2

文件说明符 : C:/WINDOWS/system32/oswxdttb.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:26:37 修改时间 : 2004-8-8 8:26:38 大小 : 535560 字节 523.8 KB MD5 : 2f66067cf7d9f5b93d4b8b8e7f94e96b SHA1: EC4A5173F94F9F58B0C00E9C8371678291704E75 CRC32: 9df17bde

文件说明符 : C:/WINDOWS/system32/sgdewg.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:40 修改时间 : 2008-6-29 8:26:44 大小 : 222208 字节 217.0 KB MD5 : 87696da8ea242e509f4e6eb6510db967 SHA1: CC88DF01131A393D8820DC01845FCF2B427B8A2A CRC32: c1fd3e15

文件说明符 : C:/WINDOWS/system32/zptlcsys.dll 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:26:49 修改时间 : 2004-8-8 8:26:50 大小 : 536072 字节 523.520 KB MD5 : 0bbf0846ddbb34b8dbfc2f2687446663 SHA1: B981564A395768C0D5C5DA93907A719D644555A8 CRC32: 2c4d2adf

文件说明符 : C:/WINDOWS/system32/jfdses.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:52 修改时间 : 2008-6-29 8:26:54 大小 : 218624 字节 213.512 KB MD5 : 4054b0505b8849631566f6e82db099b2 SHA1: 7DB776A5B47FC6931FD31C2A7710F3969F42B7C9 CRC32: b3b406d3

文件说明符 : C:/WINDOWS/system32/jhfrxz.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:59 修改时间 : 2008-6-29 8:27:0 大小 : 222208 字节 217.0 KB MD5 : 17a1ae17aa1787467f7bd27b0cf71bf5 SHA1: 2144B7464870E08E975A9998DE682DCADCA7533A CRC32: e3371bbb

文件说明符 : C:/WINDOWS/system32/rasdlgcq.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2001-6-29 8:27:8 修改时间 : 2001-6-29 8:27:10 大小 : 690836 字节 674.660 KB MD5 : f09d5bb6a68c942aa200d6d8bee0db8c SHA1: 1D8F035475F7019E52FF1D8061B7714619F20C0A CRC32: 3639729f

文件说明符 : C:/WINDOWS/system32/wklsdd.dll 属性 : A-H- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:27:10 修改时间 : 2008-6-29 8:27:12 大小 : 236544 字节 231.0 KB MD5 : 011f52bca1134b1bc22c6b4a3d43401d SHA1: 598AB3D7609B4C0F6B467B267B8FF1BE5D531B77 CRC32: c7718a6d

文件说明符 : C:/WINDOWS/system32/qbgt1.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:23:17 修改时间 : 2008-6-29 8:23:18 大小 : 20107 字节 19.651 KB MD5 : 4fc3b7d9782599604c1f2d369f0444df SHA1: 7E2AE511AF5C4369AF3645792D98DB8F74788468 CRC32: aa9a772a

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.arpk

文件说明符 : C:/WINDOWS/system32/tjfyabyt.exe 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:12 修改时间 : 2004-8-8 8:24:14 大小 : 15129 字节 14.793 KB MD5 : 8db652c0de2b785785d5f69844e6b6d5 SHA1: B8688F2B3434DAABECFB58A18E00CB7F2D0D1F84 CRC32: f2398233

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aqeh

文件说明符 : C:/WINDOWS/system32/siwdaapi.exe 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:19 修改时间 : 2004-8-8 8:24:20 大小 : 16933 字节 16.549 KB MD5 : ae52cb7c0ef3c5075ec81720c12d9bc2 SHA1: 47EA8226F7F97FC53B4F3E21FD67D384A3CDC73B CRC32: 01fd9bec

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.apms

文件说明符 : C:/WINDOWS/system32/zaztamsn.exe 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:23 修改时间 : 2004-8-8 8:24:24 大小 : 17037 字节 16.653 KB MD5 : 763aed502fefd3d27dd6ca228a93203c SHA1: 75B813DB16CB8F7D1B04DC6F732854C2C5343DF0 CRC32: 41815ce4

卡巴斯基报为 Trojan-GameThief.Win32.OnLineGames.asbu

文件说明符 : C:/WINDOWS/system32/lpzhatde.exe 属性 : -SH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2004-8-8 8:24:36 修改时间 : 2004-8-8 8:24:38 大小 : 17228 字节 16.844 KB MD5 : 0a2c8d2fe2a58f3335dc446d75f50dec SHA1: BEC8FC11CAE33275EA169E21917DC67FEAD9AD27 CRC32: 8e6e0752

卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.rxpf

文件说明符 : C:/WINDOWS/system32/dqzd9.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:24:24 修改时间 : 2008-6-29 8:24:26 大小 : 10420 字节 10.180 KB MD5 : 04d4d3d387760a80143a1b17bfe1cdeb SHA1: 3FF486AD5B5BC3F229ACA72CAC08390D3CF20AF3 CRC32: 2346d210

卡巴斯基报为 Trojan.Win32.Small.bcz

文件说明符 : C:/WINDOWS/system32/ysad30.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-29 8:26:39 修改时间 : 2008-6-29 8:26:40 大小 : 19503 字节 19.47 KB MD5 : 81691d4c2d34488ad02de04ab9c186df SHA1: DEAB07A9D959688762A3BC5DA7236541F4C40DBE CRC32: d28ef98f

卡巴斯基报为 Trojan-GameThief.Win32.OnLineGames.rxwr

文件说明符 : C:/WINDOWS/system32/msqtvcap.dat 属性 : A--- 数字签名:否 PE文件:否 创建时间 : 2006-11-12 9:46:40 修改时间 : 2008-6-29 15:42:42 大小 : 9288 字节 9.72 KB MD5 : 0fa6be9577039b850f6c9ea22d2e9fe2 SHA1: 785F2856E05B42164CDD83A734A5070719B462B6 CRC32: 22d8a6d7