beep.sys/Trojan.NtRootKit.1192,msplugplay 1005.sys/BackDoor.Pigeon.13201等2
endurer 原创
2008-06-25 第1版
(续1)
先修正电脑日期,然后下载 DrWeb CureIt!扫描。
同时下载 bat_do、FileInfo 提取文件信息,打包备份,延时删除。
接着下载 瑞星卡卡安全助手清理恶意程序启动项目。
附1:部分恶意文件信息
附2:DrWeb CureIt!扫描日志
附1:部分恶意文件信息
文件说明符 : c:/windows/system32/apsgejba.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-8 19:53:30
修改时间 : 2004-8-8 19:53:32
大小 : 537608 字节 525.8 KB
MD5 : dfb233144b035c0d75c7a4eda4acd19f
SHA1: D232B49B7813EC37969DDD95C07960CDB4D484C9
CRC32: 482b926b
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.apjb,DrWeb 报为 Trojan.PWS.Gamania.10904,瑞星报为 Trojan.PSW.Win32.GameOL.obx
文件说明符 : c:/windows/system32/apzhbtde.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-8 19:53:24
修改时间 : 2004-8-8 19:53:26
大小 : 537608 字节 525.8 KB
MD5 : 5bb14d85a537fc6917151abf82f4b5c3
SHA1: 19C6EDE88343BE1DCBCEAC8BF9C1737698D9D96C
CRC32: 78c29065
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.apjo,DrWeb 报为 Trojan.PWS.Gamania.11045,瑞星报为 Trojan.PSW.Win32.GameOL.oby
文件说明符 : c:/windows/system32/cdwqfs.dll
属性 : A-H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-17 20:41:36
修改时间 : 2008-5-17 20:41:38
大小 : 225792 字节 220.512 KB
MD5 : db5708d7c7eea6021363643c59bf3e67
SHA1: BCE9BA14A0A0EF61BDD4E2580BA9E6848AE9BF38
CRC32: 68d68faf
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.arqv,DrWeb 报为 Trojan.PWS.Gamania.11222,瑞星报为 Trojan.PSW.Win32.GameOL.ocv
文件说明符 : c:/windows/system32/drivers/beep.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-5-13 19:52:14
大小 : 16256 字节 15.896 KB
MD5 : 961bc0b14047b04e23ba2a4a0d5ce2b6
SHA1: 14111C7D81625122017EF0CD829D69AF6A56D981
CRC32: 60bc58fb
961bc0b14047b04e23ba2a4a0d5ce2b6---卡巴斯基报为 Trojan.Win32.Agent.qxb,DrWeb 报为 Trojan.NtRootKit.1192,瑞星报为 RootKit.Win32.Mnless.sh
文件说明符 : c:/windows/system32/fgfsakuy.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-8 19:54:7
修改时间 : 2004-8-8 19:54:8
大小 : 541192 字节 528.520 KB
MD5 : f0ed818b25061ccc04bca17c73630177
SHA1: A551823DCFD2E3FF15B23BFAD9457C6E5EE9FC27
CRC32: ac5a4095
文件说明符 : C:/WINDOWS/system32/drivers/5dinlqohl.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
大小 : 51840 字节 50.640 KB
MD5 : 6c72da0b563ca7acff0a00443c378bc2
SHA1: 457F0DA752BBD71E3ABD3AA7C5B9375DE2D34EAA
CRC32: 4561095d
卡巴斯基报为 Trojan-Downloader.Win32.Hmir.dkk
文件说明符 : C:/WINDOWS/system32/drivers/acpidisk.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-22 12:9:9
修改时间 : 2008-7-3 19:24:40
大小 : 176388 字节 172.260 KB
MD5 : 29749929f2f8451433ad20da32e7230a
SHA1: D00AB31A4355C7986B1B140AFB97D1FBFBF3525D
CRC32: 30c3e5d1
卡巴斯基报为 not-a-virus:AdWare.Win32.Cinmus.khv[KLAB-5442504]
文件说明符 : C:/Program Files/Microsoft Office/SYSTEM/apcdli.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-6-13 16:59:44
修改时间 : 2008-6-20 17:49:16
大小 : 148100 字节 144.644 KB
MD5 : 18ec4e0b3b6458a275dbecfeef8f58ed
SHA1: 9785016C0D198C8919A739D6EE9F937436D33B24
CRC32: 6ff9195b
卡巴斯基报为 not-a-virus:AdWare.Win32.Cinmus.khu[KLAB-5442504]
文件说明符 : C:/WINDOWS/system32/bcvnsvc.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 6.6.3791.1832
说明 : Background Intelligent Transfer Services
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 6.6.3791.1831
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : qmgr32.dll
源文件名 : qmgr32.dll
创建时间 : 2004-8-8 4:0:0
修改时间 : 2004-8-8 4:0:0
大小 : 34816 字节 34.0 KB
MD5 : f08891ef2326db9dc377136d486074d5
SHA1: 20E0B0614F1120552C184B1E4ABBD60621C6CB07
CRC32: ab169150
卡巴斯基报为 Trojan-Downloader.Win32.Agent.udg[KLAB-5442504]
文件说明符 : C:/WINDOWS/System32/drivers/nesepi.sys
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 1, 3
说明 : sys 应用程序
版权 : 版权所有 (C) 2006
产品版本 : 1, 0, 1, 3
产品名称 : sys 应用程序
公司名称 : 北京三七二一科技有限公司
内部名称 : sys
源文件名 : sys.exe
创建时间 : 2007-12-15 19:49:15
修改时间 : 2007-12-15 19:49:16
大小 : 62976 字节 61.512 KB
MD5 : a6dd32785fcdbd3d94d2c16a4dab6735
SHA1: F0D5E6F96B8B60F12B3D510863C523191664BBDD
CRC32: 21f75520
卡巴斯基报为 Trojan.Win32.Agent.sbb[KLAB-5442504]
文件说明符 : C:/Documents and Settings/All Users/Application Data/Microsoft/Office/SYSTEM/ntptdb.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-6-13 17:32:38
修改时间 : 2008-6-17 14:34:18
大小 : 204420 字节 199.644 KB
MD5 : 3a36e868e443b5bc54a6e3186d564a18
SHA1: F7DB9733EC3FD37482D030B4307FAB392C439956
CRC32: 3ecd9604
卡巴斯基报为 not-a-virus:AdWare.Win32.Cinmus.kht[KLAB-5442504]
文件说明符 : C:/WINDOWS/system32/viscvc.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-22 12:5:59
修改时间 : 2008-5-22 12:6:4
大小 : 18719 字节 18.287 KB
MD5 : 417cde96cd0b3d08e69a1d1e2e36e196
SHA1: 469E1756AF52CEE1EA79F0B59D7F85128240D8B8
CRC32: 540903a8
卡巴斯基报为 Backdoor.Win32.Agent.kqn,瑞星报为 Trojan.Win32.Undef.hyd
文件说明符 : C:/WINDOWS/system32/tcpip.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-16 21:53:27
修改时间 : 2008-5-22 12:6:4
大小 : 62527 字节 61.63 KB
MD5 : 39af77e4db7ba43a04e07542f4561420
SHA1: 27F976EAA0D8EFD94D7E90E4A6650182E9CF7593
CRC32: e923dfeb
DrWeb 报为 Trojan.DownLoader.60056
文件说明符 : C:/WINDOWS/system32/dlbar.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-16 21:54:1
修改时间 : 2008-5-22 12:21:52
大小 : 123904 字节 121.0 KB
MD5 : 13eb2b92372179d9a5a26136f86aa3f2
SHA1: E0419A9B3E6FC692F1FAFDABBEE281280E87A66B
CRC32: 5c01108f
文件说明符 : C:/WINDOWS/system32/systemdrv.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 3, 3, 1, 0
产品版本 : 3, 3, 1, 0
创建时间 : 2008-5-17 19:18:31
修改时间 : 2008-5-22 12:21:58
大小 : 183808 字节 179.512 KB
MD5 : fced9d067078ba9538496e7d4aca08df
SHA1: E2F2D499CDF6992FEA5C00A00B1BA6026816CD5D
CRC32: 9cee100a
文件说明符 : C:/WINDOWS/system32/upudpkok.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-22 12:6:6
修改时间 : 2008-5-22 12:22:2
大小 : 12096 字节 11.832 KB
MD5 : 895838862a43b51c0a4d19a94cbcda79
SHA1: 6F8CC16998C0484126F00499F6F1ACDC5BE014DA
CRC32: ebe1acc1
文件说明符 : C:/WINDOWS/system32/YQL_Lyrics_Common.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 2, 6, 0
说明 : YiqilaiLyrics Common
版权 : Yiqilai.com. All rights reserved.
产品版本 : 1, 2, 6, 0
产品名称 : YiqilaiLyrics
公司名称 : Yiqilai.com
内部名称 : Common.dll
源文件名 : Common.dll
创建时间 : 2008-6-12 14:13:36
修改时间 : 2008-6-12 14:13:36
大小 : 451584 字节 441.0 KB
MD5 : 1908031943862821a306656b2e137ba3
SHA1: 08AD9B270084A387F85F6AD39BED0193ECF30230
CRC32: 8c564706
文件说明符 : C:/WINDOWS/system32/sysloader.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 3, 3, 0, 0
产品版本 : 3, 3, 0, 0
创建时间 : 2008-5-16 21:54:13
修改时间 : 2008-5-17 19:8:12
大小 : 182272 字节 178.0 KB
MD5 : 4a8b821bfa1c062af4f78766fb0ba48c
SHA1: 4A2BD2C2DD7E7935533836C9073728C352910E0C
CRC32: e49f8ccd
文件说明符 : C:/WINDOWS/system32/explof.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-18 21:8:48
修改时间 : 2008-5-18 21:8:50
大小 : 24576 字节 24.0 KB
MD5 : 781d06497ea428cd56809075cafe3d64
SHA1: 501E0B530AB1097BD5C42FF47435115D5065B408
CRC32: 9359757e
文件说明符 : C:/WINDOWS/system32/exlpolr0.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-18 21:8:48
修改时间 : 2008-5-18 21:8:50
大小 : 24576 字节 24.0 KB
MD5 : 3c86ba71c8494ebd68f52aa1659cf5d5
SHA1: BA8ECC634FB65E3D0972B801847F4C4CA7B7B5CD
CRC32: 971c376d
文件说明符 : C:/WINDOWS/system32/iisumsvc.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-16 21:55:53
修改时间 : 2008-5-18 22:29:50
大小 : 107081 字节 104.585 KB
MD5 : dc94b7ea05c3c2554725169e2e242412
SHA1: E3F98790CED2A7B5464D7313039FBBFF5F5C58C5
CRC32: ff48067d
文件说明符 : C:/WINDOWS/system32/tcpip.sys
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-5-16 21:53:29
修改时间 : 2008-5-22 12:6:0
大小 : 816 字节
MD5 : db855716b6522ef84c7c64f9042c2a40
SHA1: 21E3A4753BCDFE368F09B66571B855068249F20E
CRC32: 81e18618
文件说明符 : C:/WINDOWS/system32/Etcpip.sys
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-5-16 21:53:29
修改时间 : 2008-5-22 12:6:0
大小 : 404 字节
MD5 : 6d6b8c81d910db6bf56d4d80a3ff0226
SHA1: 63144CD55C7FB8972C8C00D387ACFC2D6F56F2CE
CRC32: df2d2698
文件说明符 : C:/WINDOWS/system32/Aduio.sys
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-5-16 21:53:29
修改时间 : 2008-5-22 12:6:2
大小 : 1600 字节 1.576 KB
MD5 : 071d129efeda366100ea54877c2b1198
SHA1: 8E8372CA339CC078C56729F37BC89D457DE696EB
CRC32: 8e31b511
文件说明符 : C:/WINDOWS/system32/1.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-16 21:53:29
修改时间 : 2008-5-22 12:6:6
大小 : 24576 字节 24.0 KB
MD5 : 7784b190a4cb88062d0767b830583b1b
SHA1: 9F3593E3A24539786B2A5AC9D582E56129F304EE
CRC32: 412b9df1
文件说明符 : C:/WINDOWS/system32/7.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-5-16 21:53:51
修改时间 : 2008-5-22 12:6:30
大小 : 176928 字节 172.800 KB
MD5 : 0f4590ac313b83a9b4a4902e5e3b2fb9
SHA1: F4DB728496C09B38155EA8030362C7780D0180D5
CRC32: 63eb8c58
附2:DrWeb CureIt!扫描日志
=================
Dr.Web(R)大蜘蛛反病毒扫描程序 v4.44.5 (4.44.5.05200)
版权所有 (c) Igor Daniloff, 1992-2008。保留所有权利。
日志生成时间: 2008-05-22, 12:57:22 [Administrator]
命令行: "C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/RarSFX0/setup.exe" /lng:cn-cureit.dwl /ini:setup_XP.ini
操作系统:Windows XP Professional x86 (Build 2600), Service Pack 2
=================
引擎版本: 4.44 (4.44.0.09170)
引擎API版本: 2.02
病毒库总数: 395016
c:/windows/system32/apsgejba.dll 已被病毒感染 : Trojan.PWS.Gamania.10904 - 已删除
c:/windows/system32/apzhbtde.dll 已被病毒感染 : Trojan.PWS.Gamania.11045 - 已删除
c:/windows/system32/cdwqfs.dll 已被病毒感染 : Trojan.PWS.Gamania.11222 - 已删除
c:/windows/system32/ddserh.dll 已被病毒感染 : Trojan.PWS.Gamania.11222 - 已删除
c:/windows/system32/drivers/beep.sys 已被病毒感染 : Trojan.NtRootKit.1192 - 已删除
c:/windows/system32/drivers/hbkernel.sys 已被病毒感染 : Trojan.PWS.Wsgame.5588 - 已删除
c:/windows/system32/fgfsakuy.dll 已被病毒感染 : Trojan.PWS.Gamania.11037 - 已删除
c:/windows/system32/fsrgeb.dll - 已被病毒感染 : Trojan.PWS.Gamania.origin
c:/windows/system32/hbmhly.exe 已被病毒感染 : Trojan.PWS.Wsgame.5588 - 已删除
c:/windows/system32/hhrdxd.dll - 已被病毒感染 : Trojan.PWS.Gamania.origin
c:/windows/system32/jfrwdh.dll 已被病毒感染 : Trojan.PWS.Gamania.11222 - 用户拒绝修复
c:/windows/system32/kcomd32.dll 可能已被感染了 : DLOADER.Trojan
c:/windows/system32/kcomd32.exe 可能已被感染了 : MULDROP.Trojan
c:/windows/system32/lassaplo.dll 已被病毒感染 : Trojan.PWS.Gamania.10909 - 已删除
c:/windows/system32/mfdesy.dll 已被病毒感染 : Trojan.PWS.Gamania.10951 - 已删除
c:/windows/system32/mndhedwd.dll 已被病毒感染 : Trojan.PWS.Wsgame.5947 - 已删除
c:/windows/system32/msplugplay1005.sys 已被病毒感染 : BackDoor.Pigeon.13201 - 已删除
c:/windows/system32/mtewdh.dll - 已被病毒感染 : Trojan.DownLoader.origin
c:/windows/system32/nhmxcjkl.dll 已被病毒感染 : Trojan.PWS.Gamania.10910 - 已删除
c:/windows/system32/oohxdbyt.dll 已被病毒感染 : Trojan.PWS.Gamania.10911 - 已删除
c:/windows/system32/ptjhehlp.dll 已被病毒感染 : Trojan.PWS.Gamania.10913 - 已删除
c:/windows/system32/rfdswc.dll 已被病毒感染 : Trojan.PWS.Gamania.10952 - 已删除
c:/windows/system32/sgrefg.dll 已被病毒感染 : Trojan.PWS.Wsgame.5744 - 已删除
c:/windows/system32/tcpip.exe 已被病毒感染 : Trojan.DownLoader.60056 - 已删除
c:/windows/system32/tdffdl.dll 已被病毒感染 : Trojan.PWS.Gamania.11222 - 已删除
c:/windows/system32/upudpkok.dll 可能已被感染了 : DLOADER.Trojan
c:/windows/system32/viscvc.exe 可能已被感染了 : BACKDOOR.Trojan
c:/windows/system32/wrqszl.dll 已被病毒感染 : Trojan.PWS.Gamania.11222 - 已删除
c:/windows/system32/wzcfsw.dll - 已被病毒感染 : Trojan.PWS.Gamania.origin
c:/windows/system32/yzztimsn.dll 已被病毒感染 : Trojan.PWS.Gamania.10915 - 已删除
c:/windows/system32/zdesfx.dll 已被病毒感染 : Trojan.PWS.Gamania.10842 - 已删除
c:/windows/system32/zefdst.dll 已被病毒感染 : Trojan.PWS.Gamania.11222 - 已删除
c:/windows/system32/zgxfdx.dll 已被病毒感染 : Trojan.PWS.Gamania.11165 - 已删除
c:/windows/system32/zptlcsys.dll 已被病毒感染 : Trojan.PWS.Gamania.10941 - 已删除
c:/windows/system32/zycbdime.dll 已被病毒感染 : Trojan.PWS.Gamania.10947 - 已删除
c:/windows/system32/zywmgime.dll 已被病毒感染 : Trojan.PWS.Gamania.11243 - 已删除
C:/WINDOWS/30192.exe 已被病毒感染 : BackDoor.Generic.1624 - 已删除
C:/WINDOWS/44259.exe 已被病毒感染 : BackDoor.Generic.1624 - 已删除
C:/WINDOWS/system32/wtocdv.exe 已被病毒感染 : Trojan.AVKill.425 - 已删除
C:/WINDOWS/system32/wininnet.nls 已被病毒感染 : Trojan.Inject.3445 - 已删除
C:/WINDOWS/system32/tcpip.l 已被病毒感染 : Trojan.DownLoader.63902 - 已删除
C:/WINDOWS/system32/pldhadwd.exe 已被病毒感染 : Trojan.PWS.Gamania.11191 - 已删除
C:/WINDOWS/system32/zaztamsn.exe 已被病毒感染 : Trojan.PWS.Gamania.10915 - 已删除
C:/WINDOWS/system32/lpzhatde.exe 已被病毒感染 : Trojan.PWS.Gamania.11174 - 已删除
C:/WINDOWS/system32/jbhxabyt.exe 已被病毒感染 : Trojan.PWS.Gamania.10911 - 已删除
C:/WINDOWS/system32/aitlasys.exe 已被病毒感染 : Trojan.PWS.Gamania.10904 - 已删除
C:/WINDOWS/system32/lpsgajba.exe 已被病毒感染 : Trojan.PWS.Gamania.10904 - 已删除
C:/WINDOWS/system32/2.exe 已被病毒感染 : BackDoor.Generic.1624 - 已删除
C:/WINDOWS/system32/upudpkok.dll 可能已被感染了 : DLOADER.Trojan
C:/WINDOWS/system32/c3.exe/data002 是广告软件 Adware.Sogou.origin
C:/WINDOWS/system32/c1.exe/data003/data003 是广告软件 Adware.Cinmus.origin
C:/WINDOWS/system32/spjhahlp.exe 已被病毒感染 : Trojan.PWS.Gamania.10904 - 已删除
C:/WINDOWS/system32/azcbaime.exe 已被病毒感染 : Trojan.PWS.Gamania.11053 - 已删除
C:/WINDOWS/system32/c8.exe 已被病毒感染 : Trojan.DownLoader.65491 - 已删除
C:/WINDOWS/system32/lpmxajkl.exe 已被病毒感染 : Trojan.PWS.Gamania.10910 - 已删除
C:/WINDOWS/system32/lkssaplo.exe 已被病毒感染 : Trojan.PWS.Gamania.10909 - 已删除
C:/WINDOWS/system32/yufsakuy.exe 已被病毒感染 : Trojan.PWS.Gamania.10908 - 已删除
C:/WINDOWS/system32/windowsupdata.dll 已被病毒感染 : Trojan.DownLoader.63902 - 已删除
C:/WINDOWS/system32/c9.exe 已被病毒感染 : Trojan.PWS.Gamania.10691 - 已删除
C:/WINDOWS/temp/~~.exe 已被病毒感染 : Trojan.DownLoader.64113 - 已删除
C:/WINDOWS/temp/~fC2.tmp - 已被病毒感染 : Trojan.PWS.Gamania.origin
C:/WINDOWS/temp/~fC4.tmp - 已被病毒感染 : Trojan.PWS.Gamania.origin
C:/WINDOWS/temp/~fC5.tmp 已被病毒感染 : Trojan.PWS.Gamania.10890 - 已删除
C:/WINDOWS/temp/~fC7.tmp - 已被病毒感染 : Trojan.PWS.Gamania.origin
C:/WINDOWS/temp/checksum.exe 已被病毒感染 : Trojan.PWS.Hangame.800 - 已删除
C:/WINDOWS/temp/1023.EXE 已被病毒感染 : Trojan.DownLoader.origin - 无法修复 - 已移动
C:/WINDOWS/temp/SETUP1384.EXE 已被病毒感染 : Trojan.DownLoader.60056 - 已删除
C:/WINDOWS/temp/temp.exe 已被病毒感染 : Trojan.DownLoader.63902 - 已删除
C:/WINDOWS/temp/~my1.tmp/data003/data003 是广告软件 Adware.Cinmus.origin
C:/WINDOWS/temp/Temporary Internet Files/Content.IE5/K5QD6X6F/bak[1].css 已被病毒感染 : Trojan.DownLoader.64113 - 已删除