遭遇将系统时间改为2000-10-18的Trojan.PSW.Win32.QQPass.qii,Trojan.PSW.Win32.OnlineGames.cql等...-优快云博客

本文记录了一次通过多种工具和技术手段清除复杂病毒的过程，包括使用瑞星卡卡安全助手、HijackThis等工具进行病毒扫描与清除。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

endurer 原创
2007-06-30 第1版

一位网友的电脑接入移动硬盘后，瑞星实时监控图标消失，并弹出3个命令行程序窗口，内容为：
/---
ntsd: bad pid '0'
ntsd: exiting - press enter ---
---/
估计是移动硬盘中有病毒。请偶通过QQ远程协助。

下载 pe_xscan 扫描 log，发现如下可疑项（省略了一部分进程）：
/===
pe_xscan 07-06-23 by Purple Endurer
2000-10-18 8:55:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
C:/WINDOWS/system32/msdebug.dll|1987-10-18 8:13:22
C:/WINDOWS/system32/netsrvcs.dll|1987-10-18 8:27:56
C:/Program Files/Internet Explorer/PLUGINS/System64.Sys|2000-10-18 8:41:2
C:/WINDOWS/system32/MsIMMs32.dll|2000-10-18 8:41:18
C:/WINDOWS/system32/WinForm.dll|2000-10-18 8:41:18
C:/WINDOWS/system32/upxdnd.dll|2000-10-18 8:41:18
C:/WINDOWS/system32/Kvsc3.dll|2000-10-18 8:41:16

O4 - HKLM/../run: [Kvsc3] C:/WINDOWS/Kvsc3.exe
O4 - HKLM/../run: [WinForm] C:/WINDOWS/WinForm.exe
O4 - HKLM/../run: [MsIMMs32] C:/WINDOWS/MsIMMs32.exe
O4 - HKLM/../run: [upxdnd] C:/WINDOWS/upxdnd.exe
O4 - HKLM/../run: [Microsoft Autorun6] C:/WINDOWS/system32/mydata.exe
O4 - HKLM/../run: [Microsoft Autorun7] C:/WINDOWS/system32/nwiztlbu.exe
O4 - HKLM/../run: [Microsoft Autorun1] C:/WINDOWS/system32/nwizdh.exe
O4 - HKLM/../Policies/Explorer/Run: [visin] C:/WINDOWS/SYSTEM32/VISIN.EXE

C:/autorun.inf
/-----
[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell/Auto/command=pagefile.pif]
-----/
E:/autorun.inf
/-----
[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell/Auto/command=pagefile.pif]
-----/
F:/autorun.inf
/-----
[AutoRun]
open=pagefile.pif
shellexecute=pagefile.pif
shell/Auto/command=pagefile.pif]
-----/
O15 - Trusted Zone:（10多个，略）

O23 - 服务: MSDebugsvc (Win32 Debug Service) - C:/WINDOWS/system32/rundll32.exe msdebug.dll,input(自动)

O23 - 服务: WZCSRVC (Wireless Service) - C:/WINDOWS/system32/rundll32.exe netsrvcs.dll,input(自动)

O24 - ShlExecHook: [] - {754FB7D8-B8FE-4810-B363-A788CD060F1F} = C:/Program Files/Internet Explorer/PLUGINS/System64.Sys
===/

看！系统时间被改成2000-10-18了~

到 http://purpleendurer.ys168.com 下载 FreeDLL，bat_do，FileInfo，到 http://endurer.ys168.com 下载 HijackThis、IceSword。

先用FreeDLL卸载C:/WINDOWS/system32/msdebug.dll，结果网友那边电脑程序出现错误，QQ远程协助中断~
看来这些 DLL 模块似乎 hook 了某些API函数，那就先放它们一马

重启QQ远程协助后，先把O23的两个服务停止并禁用了

用瑞星卡卡安全助手的 “插件管理及卸载”卸掉 O24项，这个一般就是列表中的最后一个

用 FileInfo 提取病毒文件信息，用 bat_do 批量打包备份后删除，删除不了的就生成去除文件属性和删除命令下次启动执行，并使用延迟删除。

用WinRAR 删除各盘里的autorun.inf

用HijackThis 修复前7个O4项

用注册表编辑器regedit删除最后一个O4项和O23项的项目。

把系统时间恢复到正常。

从开始菜单里选择瑞星实时监控中心，绿色小伞图标又出现了

检查瑞星，发现病毒库是 06-11的~晕。立即升级查杀病毒……

同时检查瑞星的查杀日志，发现最近两天瑞星监控发现了几个病毒但被用户忽略了

C:/WINDOWS/system32/netsrvcs.dll几个需要重启才能清除。

部分病毒文件信息：

文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/System64.Sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:28:26
修改时间 : 2000-10-18 8:41:2
访问时间 : 2000-10-18 0:0:0
大小 : 44173 字节 43.141 KB
MD5 : aeac5ca5d3400877049783d8e1980b24
Kaspersky 报为 Trojan-PSW.Win32.QQPass.wm，瑞星报为 Trojan.PSW.Win32.QQPass.qii

文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/System64.Jmp
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:28:26
修改时间 : 1987-10-18 8:28:26
访问时间 : 2000-10-18 0:0:0
大小 : 31885 字节 31.141 KB
MD5 : 75260059da74cd786635f9d28285db2d

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.Sys
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:36:7
修改时间 : 2007-6-30 11:36:8
访问时间 : 2007-6-30 0:0:0
大小 : 30856 字节 30.136 KB

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:47:51
修改时间 : 2007-6-30 11:47:50
访问时间 : 2007-6-30 0:0:0
大小 : 26255 字节 25.655 KB
MD5 : dd81a25aa7bc478094e07cc317a1cc04

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.ime
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:36:7
修改时间 : 2007-6-30 11:47:52
访问时间 : 2007-6-30 0:0:0
大小 : 25736 字节 25.136 KB
MD5 : 24f97553a71b409731df29474cc06f35

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.New
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:47:51
修改时间 : 2007-6-30 11:47:52
访问时间 : 2007-6-30 0:0:0
大小 : 23148 字节 22.620 KB
MD5 : b0620209bb6928bf67c3e860d6f5f099

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.win
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:47:51
修改时间 : 2007-6-30 11:47:52
访问时间 : 2007-6-30 0:0:0
大小 : 28780 字节 28.108 KB
MD5 : d1c4a2d9f64f50dcc87f573687b03507

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.Dat
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:47:51
修改时间 : 2007-6-30 11:47:52
访问时间 : 2007-6-30 0:0:0
大小 : 35471 字节 34.655 KB
MD5 : ca21c147be04b598885853f7a7243927

文件说明符 : C:/Program Files/Internet Explorer/IEXPLORE.Dak
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 11:47:51
修改时间 : 2007-6-30 11:47:52
访问时间 : 2007-6-30 0:0:0
大小 : 30856 字节 30.136 KB

文件说明符 : C:/WINDOWS/MsIMMs32.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:12:10
修改时间 : 1987-10-18 8:27:34
访问时间 : 2000-10-18 0:0:0
大小 : 22016 字节 21.512 KB
MD5 : a408ea3bdb76db9ce5539fc4e3847e28
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zk，瑞星报为 Trojan.PSW.Win32.OnlineGames.con

文件说明符 : C:/WINDOWS/system32/MsIMMs32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:13:21
修改时间 : 2000-10-18 8:41:18
访问时间 : 2000-10-18 0:0:0
大小 : 13312 字节 13.0 KB
MD5 : afc673585ec37b698cee54b44ede8615
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zk，瑞星报为 Trojan.PSW.Win32.OnlineGames.con

文件说明符 : C:/WINDOWS/Kvsc3.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:9:55
修改时间 : 1987-10-18 8:27:44
访问时间 : 2000-10-18 0:0:0
大小 : 22528 字节 22.0 KB
MD5 : ff10ef904eba543e491ffeabb73511a6
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zl，瑞星报为 Trojan.PSW.Win32.OnlineGames.cql

文件说明符 : C:/WINDOWS/system32/Kvsc3.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:9:59
修改时间 : 2000-10-18 8:41:16
访问时间 : 2000-10-18 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : f25c35fb91e0a40a9034eefe35ed5fab
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zl，瑞星报为 Trojan.PSW.Win32.OnlineGames.cql

文件说明符 : C:/WINDOWS/WinForm.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:10:8
修改时间 : 1987-10-18 8:10:6
访问时间 : 2000-10-18 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : 19ab195f03b8082515f92849ee52b001
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zj，瑞星报为 Trojan.PSW.Win32.XYOnline.t

文件说明符 : C:/WINDOWS/system32/WinForm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:10:8
修改时间 : 2000-10-18 8:41:18
访问时间 : 2000-10-18 0:0:0
大小 : 8704 字节 8.512 KB
MD5 : 281bbdfb98bf9ce6b396e36f38e3e8f2
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zj，瑞星报为 Trojan.PSW.Win32.XYOnline.t

文件说明符 : C:/WINDOWS/upxdnd.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:13:13
修改时间 : 1987-10-18 8:13:8
访问时间 : 2000-10-18 0:0:0
大小 : 29696 字节 29.0 KB
MD5 : 9d729f5e4fd09f856f5e195cf6209ccd
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.es，瑞星报为 Trojan.PSW.Win32.OnlineGames.coc

文件说明符 : C:/WINDOWS/system32/upxdnd.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:13:13
修改时间 : 2000-10-18 8:41:18
访问时间 : 2000-10-18 0:0:0
大小 : 20992 字节 20.512 KB
MD5 : 3b0b0b39744aca82f1249a6cabec63ab
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.wz，瑞星报为 Trojan.PSW.Win32.Shanda.e

文件说明符 : C:/WINDOWS/system32/netsrvcs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:10:9
修改时间 : 1987-10-18 8:27:56
访问时间 : 2007-6-30 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : debf9e8c40374a2f729b72269ad688f3
Kaspersky 报为 Trojan-Proxy.Win32.Small.du，瑞星报为 Trojan.PSW.Win32.OnlineGames.b

文件说明符 : C:/WINDOWS/system32/mydata.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-30 15:7:31
修改时间 : 1987-10-18 8:23:50
访问时间 : 2007-6-30 0:0:0
大小 : 9728 字节 9.512 KB
MD5 : 75ed0c72d9ea5bab766c6950264b7c02
Kaspersky 报为 Trojan-PSW.Win32.Nilage.bkp，瑞星报为 Trojan.PSW.Win32.RocOnline.e

文件说明符 : C:/WINDOWS/system32/nwiztlbu.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:23:51
修改时间 : 1987-10-18 8:28:12
访问时间 : 2007-6-30 0:0:0
大小 : 10712 字节 10.472 KB
MD5 : 38f570f8da8562195a9cb6ac472a433a
Kaspersky 报为 Trojan-PSW.Win32.Nilage.bkp，瑞星报为 Trojan.PSW.Win32.Agent.mj

文件说明符 : C:/WINDOWS/system32/nwizdh.exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:17:8
修改时间 : 1987-10-18 8:28:34
访问时间 : 2007-6-30 0:0:0
大小 : 10240 字节 10.0 KB
MD5 : 42cf8053dcd1362b6509bd26e0320061
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qw，瑞星报为 Trojan.PSW.Win32.XYOnline.r

文件说明符 : D:/pagefile.pif
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:7:58
修改时间 : 1987-10-18 11:55:28
访问时间 : 2000-10-18 0:0:0
大小 : 28164 字节 27.516 KB
MD5 : 4c81f3817cec03c8309f1bdb46a7c2e0
Kaspersky 报为 Trojan-Downloader.Win32.Delf.bni，瑞星报为 Trojan.DL.Win32.Agent.fh

文件说明符 : C:/WINDOWS/system32/msdebug.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:13:20
修改时间 : 1987-10-18 8:13:22
访问时间 : 2000-10-18 0:0:0
大小 : 19968 字节 19.512 KB
MD5 : e2ca6851edf32812ca9ded08086e01bc

文件说明符 : C:/WINDOWS/Temp/systemc.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:10:37
修改时间 : 1987-10-18 8:28:26
访问时间 : 2007-6-30 0:0:0
大小 : 31885 字节 31.141 KB
MD5 : 75260059da74cd786635f9d28285db2d
Kaspersky 报为 Trojan-PSW.Win32.QQPass.wm，瑞星报为 Trojan.PSW.Win32.QQPass.qin

文件说明符 : C:/WINDOWS/Temp/systeme.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:28:43
修改时间 : 1987-10-18 8:28:46
访问时间 : 2007-6-30 0:0:0
大小 : 165510 字节 161.646 KB

文件说明符 : C:/WINDOWS/Temp/system1.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:8:8
修改时间 : 2007-6-30 8:23:10
访问时间 : 2007-6-30 0:0:0
大小 : 9613 字节 9.397 KB
MD5 : 77e271e73650b0fbec0674083ecac55e
Kaspersky 报为 Trojan-Downloader.Win32.Small.evu，瑞星报为 Trojan.Win32.Agent.hyb

文件说明符 : C:/WINDOWS/Temp/system2.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:8:26
修改时间 : 1987-10-18 8:32:10
访问时间 : 2007-6-30 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : 19ab195f03b8082515f92849ee52b001
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.zj

文件说明符 : C:/WINDOWS/Temp/system3.exe 与 C:/WINDOWS/upxdnd.exe 相同。

文件说明符 : C:/WINDOWS/Temp/system4.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 1987-10-18 8:23:38
修改时间 : 1987-10-18 8:32:32
访问时间 : 2007-6-30 0:0:0
大小 : 23552 字节 23.0 KB
MD5 : af71865433c02193cee0a3d0b07fe001
Kaspersky 报为 Trojan-Proxy.Win32.Small.du

文件说明符 : C:/WINDOWS/Temp/system5.exe 　与 C:/WINDOWS/system32/mydata.exe 相同。

文件说明符 : C:/Documents and Settings/user/Local Settings/Temp/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-5 11:10:8
修改时间 : 2006-12-5 11:10:10
访问时间 : 2007-6-30 0:0:0
大小 : 5359 字节 5.239 KB
MD5 : 520ccf6c55bea38040da688ff9db7115
Kaspersky 报为 Trojan-Downloader.Win32.Cryptic.gen

文件说明符 : C:/WINDOWS/SYSTEM32/VISIN.EXE
属性 : -SH-
语言 : 中文(中国)
文件版本 : 5.1.2600.0
说明 : Microsoft Wisin Control
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wisin
源文件名 : Wisin.exe
创建时间 : 2005-8-13 21:0:0
修改时间 : 2007-3-8 23:37:22
访问时间 : 2007-6-30 0:0:0
大小 : 25603 字节 25.3 KB
MD5 : f3655b9967e08435e4fde2d8935e9ef7
Kaspersky 报为 Trojan-Downloader.Win32.Small.czl

文件说明符 : C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/D7BP7LVG/8[1].exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-30 8:9:59
修改时间 : 2007-6-30 8:10:0
访问时间 : 2007-6-30 0:0:0
大小 : 23040 字节 22.512 KB
MD5 : 089b7ace5466729650490ba90488248d
Kaspersky 报为 Trojan-Proxy.Win32.Small.du