本文介绍了一种清除包括Trojan.PSW.Win32.QQPass在内的多种顽固木马病毒的方法,涉及使用特定工具提取可疑文件信息、备份并删除这些文件、利用瑞星卡卡安全助手进行系统修复等内容。
又遇Trojan.PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
endurer 原创 2008-06-16 第1版
(继1)
到 http://purpleendurer.ys168.com下载 FileInfo、bat_do。
先用FileInfo 提取log中的红色标记的文件的信息,然后把log中的红色标记的文件加入/拖入 bat_do,全选,用rar压缩备份,延时删除,改所文件名,延时删除。
下载并安装 瑞星卡卡安全助手,清理了18个流氓软件,
切换到[高级功能]—>[IE及系统修复]里,点击修复按钮以 修复 O6 项。
切换到[高级功能]->[插件管理与卸载],按文件名找到 O2、O24组的对应项并卸载;
切换到[高级功能]->[系统启动项管理],
在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
在左边点击[应用程序初始化动态连接库],在右边找到 O20 项对应的项目,右击,从弹出的菜单里选择删除。
在左边分别点击[服务项]和[驱动],找到 O23组的对应项, 右击,从弹出的菜单中选择删除。
在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
用WinRAR删除Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。
重启电脑到安全模式,再检查可疑文件和项目,如果还有残留,照上面的方法继续处理,然后重启电脑再进入安全模式再检查,直至文件和项目都不再出现。
部分病毒文件信息:
文件说明符 : C:/WINDOWS/system32/SysDaJcHv.dll 属性 : A--- 数字签名:否 PE文件:是 语言 : 中文(中国) 文件版本 : 5.1.2600.3099 说明 : Windows XP MSPLAY API DLL 版权 : (C) Microsoft Corporation. All rights resad. 备注 : 产品版本 : 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222) 产品名称 : Microsoft(R) Windows(R) Operating System 公司名称 : Microsoft Corporation 合法商标 : Microsoft 内部名称 : msplay32 源文件名 : msplay32 创建时间 : 2008-6-4 10:40:4 修改时间 : 2008-6-9 10:24:47 大小 : 21515 字节 21.11 KB MD5 : 5aeb73a45194df8305d06b26b38f385f SHA1: 8FBBC1D1A25B0DAAFCEB232AF017619AB0642108 CRC32: 5015d72c
文件说明符 : C:/WINDOWS/system32/msosptfs01.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-5 18:3:24 修改时间 : 2008-6-9 10:24:7 大小 : 11093 字节 10.853 KB MD5 : c7daa3b0cb9a65fb94220b49e55e5c3e SHA1: 6E3CFF51A660AC8D704DD720DC6FD80BBA4199CF CRC32: c15efe24
文件说明符 : C:/WINDOWS/system32/msoscqet01.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 10:20:9 修改时间 : 2008-6-9 10:20:8 大小 : 6977 字节 6.833 KB MD5 : d9b668354f7caf9cc57184e0ecd06b29 SHA1: 01601776652A7C95D068D2C18F3B28081BC6D014 CRC32: 6c833147
卡巴斯基报为 Trojan.Win32.Agent.rcn,瑞星报为 Trojan.PSW.Win32.GameOL.nyg
文件说明符 : C:/WINDOWS/system32/msosfasq01.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 10:24:37 修改时间 : 2008-6-9 10:24:37 大小 : 8219 字节 8.27 KB MD5 : 1894a215ef00375717c7756c56c368dc SHA1: 95C1C850353FC38D8E2267050D053C04F1944B49 CRC32: 42816eea
文件说明符 : C:/WINDOWS/system32/msosping01.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-5 18:3:15 修改时间 : 2008-6-9 10:24:17 大小 : 6924 字节 6.780 KB MD5 : 6e6a6ed7ea0c7f9ee7bfa867687be9a1 SHA1: F8ACE73C5ABF3ED414453365F3597B1DE3EE11EA CRC32: f9f9ef3b
文件说明符 : C:/WINDOWS/system32/msoscqit00.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:29:26 修改时间 : 2008-6-6 17:29:2 大小 : 6963 字节 6.819 KB MD5 : 755090b2639060725c978c4d0311d089 SHA1: C8914AF6DF66A4149BB82DF850981781AB549248 CRC32: a26561e7
文件说明符 : C:/WINDOWS/system32/msosjtio00.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:32:36 修改时间 : 2008-6-6 15:21:49 大小 : 8537 字节 8.345 KB MD5 : 1be14da3d80e6e23b6fa5633c1784ef0 SHA1: CCAE758C254A6346593E8965DE5679AB8D3C2459 CRC32: 878cda75
文件说明符 : C:/WINDOWS/system32/msosfmsq01.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-2 15:58:15 修改时间 : 2008-6-6 17:29:9 大小 : 8221 字节 8.29 KB MD5 : d30aa2ee3c8a77acea4d9a303a6e4030 SHA1: C6596555F1CDA6393023C0E262608B4BBB59741E CRC32: 0546cde4
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.alpo,瑞星报为 Trojan.PSW.Win32.GameOL.nyc
文件说明符 : C:/WINDOWS/system32/msosjtfo01.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 10:24:57 修改时间 : 2008-6-9 10:24:56 大小 : 8548 字节 8.356 KB MD5 : 00e896dfe689c74dba715f2daf48701b SHA1: DD54CA85F13FEBDF311470592D2EC315BD1F5383 CRC32: 8c364ab8
文件说明符 : C:/WINDOWS/system32/msosdrop00.dll 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:33:9 修改时间 : 2008-6-6 17:29:21 大小 : 14025 字节 13.713 KB MD5 : 9952d12f94f4eab7875288b99b30f11e SHA1: C2AC83D16CF0E4D03CF4CB4A4356C4BB8F317BC7 CRC32: 54bd1224
文件说明符 : C:/WINDOWS/system32/ytewcxzsw.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-8 10:8:22 修改时间 : 2008-6-8 10:8:22 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.angp,瑞星报为 Trojan.PSW.Win32.GameOL.nzo
文件说明符 : C:/WINDOWS/system32/wwwwww.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 10:18:42 修改时间 : 2008-6-9 10:18:42 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/qqqqqq.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 16:29:38 修改时间 : 2008-6-9 16:29:38 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/gggggg.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-10 8:11:23 修改时间 : 2008-6-10 8:11:23 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/kduonz.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-10 8:11:30 修改时间 : 2008-6-10 8:11:30 大小 : 27948 字节 27.300 KB MD5 : f7e9e1cadc225b23e866c888656575dd SHA1: 2D3A22828B1DC642B2345094088B0684FE6F77AC CRC32: 6014d6e7
文件说明符 : C:/WINDOWS/system32/oooooo.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-10 14:57:29 修改时间 : 2008-6-10 14:57:29 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/cccccc.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-11 8:0:15 修改时间 : 2008-6-11 8:0:15 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/eeeeee.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-11 8:56:8 修改时间 : 2008-6-11 8:56:8 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.angp,瑞星报为 Trojan.PSW.Win32.GameOL.nzo
文件说明符 : C:/WINDOWS/system32/mmmmmm.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-11 10:29:38 修改时间 : 2008-6-11 10:29:38 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/tttttt.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-11 15:26:26 修改时间 : 2008-6-11 15:26:26 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
文件说明符 : C:/WINDOWS/system32/xxxxxx.dll 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-12 8:14:16 修改时间 : 2008-6-12 8:14:16 大小 : 41244 字节 40.284 KB MD5 : e8acecc0046812386209eede9a743afc SHA1: 1D696A080EEC49F23DD8E2BB9841A9A49B97214A CRC32: 036f76f0
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.angp,瑞星报为 Trojan.PSW.Win32.GameOL.nzo
文件说明符 : C:/WINDOWS/ssssss.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 10:17:28 修改时间 : 2008-6-9 10:18:41 大小 : 20252 字节 19.796 KB MD5 : d79fdd120cda8beeaec9bcf2bada0bde SHA1: B0F4066A67AFB40B09079FC7EF9EB5201B6D6134 CRC32: b5c5ecc0
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.angb,瑞星报为 Trojan.PSW.Win32.GameOL.nzj
文件说明符 : C:/WINDOWS/juejwcx.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-8 10:12:36 修改时间 : 2008-6-9 10:22:27 大小 : 21780 字节 21.276 KB MD5 : 7148091c03684668e5f623642191f98d SHA1: 9C7AE5D1A22AF5AD176C93B7A45D42E34E48AF70 CRC32: 7d3f381e
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.anga,瑞星报为 Trojan.PSW.Win32.GameOL.nzj
文件说明符 : C:/WINDOWS/isscs32.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-9 10:19:5 修改时间 : 2008-6-9 10:19:4 大小 : 19744 字节 19.288 KB MD5 : 35ab9cc1fa8a38c8beaf1227caf6a1a4 SHA1: 17718D00917E0778E1E1CB1076EBBB2D0F703834 CRC32: 6a91e601
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aoaj,瑞星报为 Trojan.PSW.Win32.GameOL.nyt
文件说明符 : C:/WINDOWS/dbhlp32.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:30:13 修改时间 : 2008-6-9 10:21:11 大小 : 18613 字节 18.181 KB MD5 : c382aa3fafe688986f88385a2519dddb SHA1: 638E0E95DBC0469CC0937FBADBE5219BD02643E1 CRC32: cd9d245b
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.almz,瑞星报为 Trojan.PSW.Win32.GameOL.nvb
文件说明符 : C:/WINDOWS/rktdwvur.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:30:34 修改时间 : 2008-6-9 10:21:39 大小 : 19732 字节 19.276 KB MD5 : 3661c0a8878c7895ea52e64f3f9fa685 SHA1: 4C88841D5A619AAA92491BDB73C5B85C20314F82 CRC32: 79cf3530
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aods,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/ptshell.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:30:43 修改时间 : 2008-6-9 10:21:55 大小 : 18945 字节 18.513 KB MD5 : 1600e2bc8b48b7b4044d668d3f32d756 SHA1: 6FD3311E3DBC75435270250317FB42D4344AB404 CRC32: a01473f0
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ajsr,瑞星报为 Trojan.PSW.Win32.GameOL.nsq
文件说明符 : C:/WINDOWS/tciocp64.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 18:30:19 修改时间 : 2008-6-9 10:22:5 大小 : 19744 字节 19.288 KB MD5 : 12a3b7171c483335cb3e880172634e0b SHA1: 7FBD9FDBBAFDE9FF7625281CCEA88F2A6DFA8A98 CRC32: 3ae69d45
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.ampd,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/wrew2ds.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-6 8:1:30 修改时间 : 2008-6-9 10:24:27 大小 : 19736 字节 19.280 KB MD5 : f2ff4608a5d9471b86f0cc0cb04683e3 SHA1: B38CD71B68FE16F4D47FFFC939811BE901280FF6 CRC32: 05428349
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.amzo,瑞星报为 Trojan.PSW.Win32.GameOL.nzj
文件说明符 : C:/WINDOWS/zsftym.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-6 10:29:50 修改时间 : 2008-6-6 8:1:1 大小 : 20252 字节 19.796 KB MD5 : a6be090dcd0ac42f0062bdfae3fddee0 SHA1: 3BCE0A17A870FC1687DFD59B66FD4001C352F747 CRC32: 2f5bf502
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.amzo,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/wplbxy.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-6 15:20:1 修改时间 : 2008-6-6 10:30:23 大小 : 20252 字节 19.796 KB MD5 : a6be090dcd0ac42f0062bdfae3fddee0 SHA1: 3BCE0A17A870FC1687DFD59B66FD4001C352F747 CRC32: 2f5bf502
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.amog,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/uglapz.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-6 17:28:20 修改时间 : 2008-6-6 15:20:52 大小 : 20252 字节 19.796 KB MD5 : a6be090dcd0ac42f0062bdfae3fddee0 SHA1: 3BCE0A17A870FC1687DFD59B66FD4001C352F747 CRC32: 2f5bf502
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.amog,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/ticisms.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 11:31:12 修改时间 : 2008-6-6 17:29:4 大小 : 21780 字节 21.276 KB MD5 : f24333bc94b7d11108a1be2e06d28b05 SHA1: D55B1940C4A4A4640E6C896C966E80C91CE17887 CRC32: f5cf6a98
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.amoh,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/dndsioc.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 18:30:36 修改时间 : 2008-6-6 17:29:15 大小 : 19732 字节 19.276 KB MD5 : 94a11c32ae5f10aa3496662f9a5893b6 SHA1: 647D0A6AD238C0E38C421147BF0BE81C7B660208 CRC32: de63567c
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.amoy,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/isndntio.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 13:14:48 修改时间 : 2008-6-6 10:25:16 大小 : 17172 字节 16.788 KB MD5 : 1fd74013ee1c0a7ad6edcaf49b5213ba SHA1: 0CA3551B1DB52B21856613019EF29217038A531A CRC32: b8afeeec
卡巴斯基报为 Trojan-PSW.Win32.Agent.aof,瑞星报为 Trojan.PSW.Win32.GameOL.nxl
文件说明符 : C:/WINDOWS/wipxcdec.exe 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-6 17:29:21 修改时间 : 2008-6-6 17:29:20 大小 : 19744 字节 19.288 KB MD5 : 8f11c7a1dc7aa733b97cd6b484605d03 SHA1: AC299515828A261050CBED0794EF6E7BA15143C2 CRC32: 45fb8852
卡巴斯基报为 Trojan-PSW.Win32.OnLineGames.aneh,瑞星报为 Trojan.PSW.Win32.GameOL.nzj
c:/WINDOWS/system32/win.ini 包含待下载的木马URL列表
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/DosSys08.Sys 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-5 18:3:32 修改时间 : 2008-6-6 17:29:28 大小 : 44669 字节 43.637 KB MD5 : 54262ece2a153c95aed599f657ff70ae SHA1: D6D3DA1C06B0FD3839129F85F8FF086432BB6B02 CRC32: a031dfb4
卡巴斯基报为 Trojan-PSW.Win32.QQPass.ccm,瑞星报为 Worm.Win32.PaBug.hl
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/DosSys16.Sys 属性 : ASH- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 18:30:46 修改时间 : 2008-6-4 10:40:26 大小 : 44668 字节 43.636 KB MD5 : 6905786867e645c401638061a52a288d SHA1: 4C935361E7F929DA1D7458EB8552DD03802AE662 CRC32: 69397fdd
卡巴斯基报为 Trojan-PSW.Win32.QQPass.cbk,瑞星报为 Worm.Win32.PaBug.hi
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/DosSys16.Jmp 属性 : A--- 数字签名:否 PE文件:是 获取文件版本信息大小失败! 创建时间 : 2008-6-1 18:30:46 修改时间 : 2008-6-6 17:59:37 大小 : 30845 字节 30.125 KB MD5 : 37b5f82e4758aecd0b1a3b792ef67091 SHA1: 3C4895209F46ED10844308F4300278B93292CD7F CRC32: 647e1f5c
卡巴斯基报为 Trojan-PSW.Win32.QQPass.ccl,瑞星报为 Trojan.PSW.Win32.QQPass.dnh
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
