遭遇 unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等1

最新推荐文章于 2025-11-20 10:32:29 发布
最新推荐文章于 2025-11-20 10:32:29 发布 · 134 阅读 · 0

本文记录了一次解决电脑遭遇Trojan-PSW.Win32.QQPass.cdw等病毒的问题过程。通过使用pe_xscan扫描工具,在带网络连接的安全模式下检测到了多个可疑项,并进一步分析了潜在的恶意软件。

遭遇 unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等1

endurer 原创 2008-07-01 第1版

一位网友说他的电脑在正常模式下无法操作,于是强制重启电脑到带网络连接的安全模式,通过!!请偶帮忙检修。

下载 pe_xscan 扫描 log 并分析,发现如下可疑项: /=== 

pe_xscan 08-04-26 by Purple Endurer 
2008-6-30 18:20:21 
Windows XP Service Pack 2(5.1.2600) 
MSIE:7.0.5730.13 
管理员用户组 
带网络连接的安全模式 

[System Process]  0 
   2008-6-29 0:27:17 
   2001-6-29 0:27:8 
   2001-6-29 0:26:35 
   2001-6-29 0:26:16 
   2008-6-29 0:27:10 
   2008-6-29 0:26:59 
   2008-6-29 0:26:40 
   2008-6-29 0:26:52 
   2008-6-29 0:24:30 
   2008-6-29 0:24:14 
   2008-6-29 0:26:26 
   2008-6-29 0:26:7 
   2008-6-29 0:25:44 
C:/WINDOWS/Explorer.EXE 1216  2004-8-7 20:0:0  Microsoft(R) Windows(R) Operating System  6.00.2900.3156  Windows Explorer  (C) Microsoft Corporation. All rights reserved.  6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)  Microsoft Corporation ?  explorer  EXPLORER.EXE 
   2004-8-8 0:24:12 
   2008-6-29 0:24:14 
   2004-8-8 0:24:19 
   2008-6-29 0:24:30 
   2004-8-8 0:24:36 
   2004-8-8 0:25:44 
   2008-6-29 0:25:44 
   2004-8-8 0:25:52 
   2004-8-8 0:25:55 
   2008-6-29 0:26:1 
   2004-8-8 0:26:4 
   2008-6-29 0:26:7 
   2004-8-8 0:26:12 
   2004-8-8 0:26:17 
   2001-6-29 0:26:16 
   2004-8-8 0:26:19 
   2008-6-29 0:26:26 
   2001-6-29 0:26:35 
   2004-8-8 0:26:37 
   2008-6-29 0:26:40 
   2004-8-8 0:26:49 
   2008-6-29 0:26:52 
   2008-6-29 0:26:59 
   2001-6-29 0:27:8 
   2008-6-29 0:27:10 
   2008-6-29 0:27:17 
C:/Program Files/Tencent/QQ/QQ.exe 1652  2008-2-19 6:15:10  QQ  8,0,714,1791  QQ  Copyright (C) 1998 - 2008 TENCENT Inc. All Rights Reserved  8,0,714,1791  TENCENT   COMQQD  QQ.exe 
   2001-6-29 0:27:8 
   2001-6-29 0:26:35 
   2001-6-29 0:26:16 
   2008-6-29 0:27:10 
   2008-6-29 0:26:59 
   2008-6-29 0:26:52 
   2008-6-29 0:26:40 
   2008-6-29 0:24:30 
   2008-6-29 0:24:14 
   2008-6-29 0:26:26 
   2008-6-29 0:26:7 
   2008-6-29 0:25:44 
   2008-6-29 0:27:17 
C:/Program Files/Tencent/QQ/TXPlatform.exe 1680  2007-11-18 1:53:39  TM2008  1, 0, 170, 201  TM2008  Copyright (C) 1998-2007 TENCENT Inc. All Rights Reserved  1, 0, 170, 0  Tencent ?   
   2001-6-29 0:27:8 
   2001-6-29 0:26:35 
   2001-6-29 0:26:16 
   2008-6-29 0:27:10 
   2008-6-29 0:26:59 
   2008-6-29 0:26:52 
   2008-6-29 0:26:40 
   2008-6-29 0:24:30 
   2008-6-29 0:24:14 
   2008-6-29 0:26:26 
   2008-6-29 0:26:7 
   2008-6-29 0:25:44 
   2008-6-29 0:27:17 
C:/WINDOWS/System32/ctfmon.exe 116  2004-8-7 20:0:0  Microsoft? Windows? Operating System  5.1.2600.2180  CTF Loader  ? Microsoft Corporation. All rights reserved.  5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)  Microsoft Corporation ?  CTFMON  CTFMON.EXE 
   2008-6-29 0:27:17 
   2001-6-29 0:27:8 
   2001-6-29 0:26:35 
   2001-6-29 0:26:16 
   2008-6-29 0:27:10 
   2008-6-29 0:26:59 
   2008-6-29 0:26:40 
   2008-6-29 0:26:52 
   2008-6-29 0:24:30 
   2008-6-29 0:24:14 
   2008-6-29 0:26:26 
   2008-6-29 0:26:7 
   2008-6-29 0:25:44 
O2 - BHO - {25FD6584-698F-BCD2-602C-698745210352} -
O2 - BHO - {32023698-6984-8541-9654-698745012523} -
O2 - BHO - {35671234-7890-ABCD-CDEF-567801237653} -
O2 - BHO - {3D698451-2015-6358-9871-2015987452D3} -
O2 - BHO - {43512378-9874-5641-1025-985420368734} -
O2 - BHO - {47AC9076-C898-B098-D098-A18319080974} -
O2 - BHO - {50940F85-F015-14F1-A05F-F69858AC6D05} -
O2 - BHO - {54FAE856-AD58-20CB-A025-CD4895FA6E45} -
O2 - BHO - {55694105-5108-9405-3695-954187462155} -
O2 - BHO - {5A069845-2036-6084-9054-6087502480A5} -
O2 - BHO - {74381DEC-D78B-43E4-BA5D-5244F669EBE4} -
O2 - BHO - {7A041F13-A111-12A3-B0CF-F99818AA68A7} -
O2 - BHO - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} - 
O2 - BHO -  - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O2 - BHO - {7FD45A54-9875-698F-E56E-65102358FDF7} -
O2 - BHO - {87FD640A-158F-48AC-FD14-1597F14A9778} -
O2 - BHO - {B490415F-65F8-B5C5-D8BA-9405FB12054B} -
O2 - BHO - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} -
O20 - AppInit_DLLs =,,, 
O21 - SSODL - midimapgj(0) - {4F4F0064-71E0-4f0d-0003-708476C7815F} =
O21 - SSODL - cliconfgzx.dll(0) - {00050005-0005-0005-0005-00050005BB15} =
O21 - SSODL - catsrvwl.dll(-) - {00040004-0004-0004-0004-00040004BB15} =
O21 - SSODL - kbdswjr.dll(-) - {00120012-0012-0012-0012-00120012BB15} =
O21 - SSODL - rasdlgcq.dll(-) - {00230023-0023-0023-0023-00230023BB15} =
O23 - 服务: e130371c6a3baccb (e130371c6a3baccb) -(手动) 
O23 - 服务: hbdegbbh(hbdegbbh) -(引导) 
O23 - 服务: Hdv32 (Hdv32) -(手动) 
O23 - 服务: heebajhj(hbdegbbh) -(引导) 
O23 - 服务: pjjgkej (pjjgkej) -(引导) 
O24 - ShlExecHook: [7] - {7C8D1401-A58D-A81C-CD24-A5915C4517C7} =
O24 - ShlExecHook: [MICROSOFT] - {17DFD111-BF3A-4CB4-ADB0-88FCBFE69821} =
O24 - ShlExecHook: [MICROSOFT] - {4D165A2A-4BC1-4CA8-8299-08E05AAAB5A4} =
O24 - ShlExecHook: [MICROSOFT] - {A9895933-6636-4281-BC58-EE6DE2AF96E3} =
O24 - ShlExecHook: [5] - {5A069845-2036-6084-9054-6087502480A5} =
O24 - ShlExecHook: [MICROSOFT] - {461D2AB4-29A5-45C2-9134-D52272D3DE38} =
O24 - ShlExecHook: [5] - {55694105-5108-9405-3695-954187462155} =
O24 - ShlExecHook: [B] - {B490415F-65F8-B5C5-D8BA-9405FB12054B} =
O24 - ShlExecHook: [MICROSOFT] - {5E907A48-400E-4EA8-9792-FFAE052D59E9} =
O24 - ShlExecHook: [3] - {3D698451-2015-6358-9871-2015987452D3} =
O24 - ShlExecHook: [F] - {4F4F0064-71E0-4f0d-0003-708476C7815F} =
O24 - ShlExecHook: [5] - {00050005-0005-0005-0005-00050005BB15} =
O24 - ShlExecHook: [7] - {7A041F13-A111-12A3-B0CF-F99818AA68A7} =
O24 - ShlExecHook: [MICROSOFT] - {84143967-B645-4BFF-B873-DA1DC886E9A7} =
O24 - ShlExecHook: [B] - {B629FF4F-ACDB-5C90-A098-FACB3456A26B} =
O24 - ShlExecHook: [2] - {25FD6584-698F-BCD2-602C-698745210352} =
O24 - ShlExecHook: [3] - {32023698-6984-8541-9654-698745012523} =
O24 - ShlExecHook: [5] - {eaa21495-29ae-4e50-8ad9-a4f877c1ab85} =
O24 - ShlExecHook: [8] - {87FD640A-158F-48AC-FD14-1597F14A9778} =
O24 - ShlExecHook: [MICROSOFT] - {C0595A7E-2E2F-4B34-A83A-019270A0A464} =
O24 - ShlExecHook: [7] - {7FD45A54-9875-698F-E56E-65102358FDF7} =
O24 - ShlExecHook: [5] - {54FAE856-AD58-20CB-A025-CD4895FA6E45} =
O24 - ShlExecHook: [5] - {00040004-0004-0004-0004-00040004BB15} =
O24 - ShlExecHook: [3] - {35671234-7890-ABCD-CDEF-567801237653} =
O24 - ShlExecHook: [MICROSOFT] - {189F087F-4378-405F-85FA-37D955AD7A8C} =
O24 - ShlExecHook: [5] - {00120012-0012-0012-0012-00120012BB15} =
O24 - ShlExecHook: [4] - {43512378-9874-5641-1025-985420368734} =
O24 - ShlExecHook: [MICROSOFT] - {8C41B7F7-3168-400D-A702-0E7EFE0BA304} =
O24 - ShlExecHook: [5] - {50940F85-F015-14F1-A05F-F69858AC6D05} =
O24 - ShlExecHook: [MICROSOFT] - {81AF1CF6-D1C9-4C6A-AC01-EDE54E71945B} =
O24 - ShlExecHook: [MICROSOFT] - {7914E0AA-ECCB-4311-B584-C49538227824} =
O24 - ShlExecHook: [4] - {47AC9076-C898-B098-D098-A18319080974} =
O24 - ShlExecHook: [5] - {00230023-0023-0023-0023-00230023BB15} =
O24 - ShlExecHook: [MICROSOFT] - {E8A3B193-77E3-4FB3-986D-F4FA4828BAFC} =
O24 - ShlExecHook: [] - {74381DEC-D78B-43E4-BA5D-5244F669EBE4} =
O26 - IFEO: QQDoctor.exe -> TASKMAN.EXE
O26 - IFEO: QQDoctorMain.exe -> TASKMAN.EXE
O26 - IFEO: SelfUpdate.exe -> TASKMAN.EXE
===/

(未完待续)

iteye_6637
关注
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
gdfyug的博客
02-18 863
遭遇Trojan-Spy Win32 Delf uv Trojan PSW Win32 XYOnline Trojan
火绒安全软件(安全防护软件)官方中文标准版V5.0.62.4 | 火绒杀毒软件官网下载
08-15
是目前国内极少数专注安全防护软件领域集‘杀、防、管、控’于一体的良心软件,具有资源占用小、高查杀、低误杀、多重防护、弹窗广告拦截器、系统加固、轻巧纯净以及不弹窗、不捆绑、不劫持浏览器等优点,...
遭遇_unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等2
热门推荐
Purpleendurer@优快云
07-02 2万+
遭遇_unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等2endurer 原创2008-07-02 第1版到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do。用FileInfo 提取 pe_xscan 的 log 中红色标记的文件的信息
遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马
Purpleendurer@优快云
12-10 2464
endurer 原创2006-12-10 第1版一位网友的电脑最近工作比较慢,让偶帮忙检修看看。到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。先用 HijackThis 扫描 log,发现以下可疑项: /-------Logfile of HijackThis v1.99.1Platform: Windows XP SP2 (W
遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2
caobihole
05-21 480
遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等2 endurer 原创2008-05-211版 (续:遭遇 Trojan-PSW.Win32.QQPass,Trojan.PSW.Win32.GameOL等1) 到 http://purpleendurer.ys168.com 下载 FileInfo 和 bat_do,用FileInf...
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames1
Purpleendurer@优快云
03-19 2397
遭遇RootKit.Win32.GameHack,Trojan.PSW.Win32.QQPass,Trojan-PSW.Win32.OnLineGames1endurer 原创2008-03-19 第1版一位网友今天说他的电脑中了QQ盗号木马,按QQ医生的提示重启电脑也不能解决,请偶帮忙清理。下载 pe_xscan 扫描 log 并分析,发现如下可疑项(进程模块中重复的部分有省略):
实战清除Trojan:Win32/Vigorf.A木马病毒的经历分享
WhiteTiger78的博客
11-20 771
这种木马在常规状态下无法被Windows安全中心和360安全卫士扫描到,只有在触发活动时才会被Windows安全中心告警。:尝试使用Windows安全中心和360安全卫士扫描,均无法检测到该木马,只有在活动时才会触发告警。:不仅限于联想浏览器,使用火狐、360安全浏览器等其他浏览器访问特定网站也会导致缓存文件被感染。:主要感染浏览器的缓存文件,特别是联想浏览器,访问特定网站(如优快云主页)会触发其活动。:卸载并重新安装联想浏览器,如果其他浏览器也被感染,需一并重装。,这是联想浏览器的缓存目录。
盗号木马 Trojan-PSW.Win32.OnLineGames.kte
weixin_30352645的博客
12-13 184
病毒名称 Trojan-PSW.Win32.OnLineGames.kte 捕获时间 2007年9月17日 病毒症状   该木马是一个使用Delphi编写的病毒程序,长度为11,954 字节,图标为常规可执行文件图标,病毒扩展名为exe 病毒分析   该木马程序被激活后,在目录%systemroot%\system32下生成KAQHCZY.DLL和KAQH...
清理特洛伊木马——Trojan:Win32/Vigorf.A
m0_59302403的博客
01-25 2万+
常规方法、无门槛清理特洛伊木马,只限于Trojan:Win32/Vigorf.A。
遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等
Purpleendurer@优快云
09-17 1636
遭遇 qfgsw.sys / Trojan-Downloader.Win32.Agent.bbb / Trojan.Win32.Agent.bvl等endurer 原创2007-09-17 第1版昨晚一位网友说近段时间他电脑中的 NOD32总报告:/---时间 模块 对象 名称 病毒 操作 用户名称 信息2007-9-16 21:30:22 AMON 文件 C:/WINDOWS/sys
Trojan-Downloader.Win32.Generic.a...
06-08
【病毒名称】:Trojan-Downloader.Win32.Generic.a 【病毒类型】:下载者 【危害程度】:中 【传播方式】:网络 【受影响系统】:windows 98以上 病毒行为: 该病毒为下载者木马类,病毒运行后调用API获取系统文件夹...
osx.raedbot.rar_At Risk_OSX.Raedb_linux trojan_realbasic_xraed
09-21
描述中提到的“Cross-Platform worm-trojan (Win32 , Linux and Mac OS ) source in REALBasic”进一步确认了这是一个跨平台的蠕虫木马源代码,是用REALBasic编程语言编写的。REALBasic是一种基于Basic的集成开发...
(59页PPT)DG数据治理与数据安全防护方案.pptx
12-04
(59页PPT)DG数据治理与数据安全防护方案.pptx
盲源分离和小波分析消除生物医学信号中的电力线噪声.zip
12-04
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
Windows10/Windows11 64位系统下的妙控鼠标滚轮驱动
12-04
适用于Windows10/Windows11 64位系统下的妙控鼠标驱动。能正常连接并开启滚动手势的驱动 可以正常使用中间触摸滚轮
(51页PPT)智慧园区运营管理&综合安防系统详细解决方案.pptx
12-04
(51页PPT)智慧园区运营管理&综合安防系统详细解决方案.pptx
基于PhasorDetect手持NIRS设备多光谱反射数据的组织氧饱和度实时监测研究(Matlab代码实现)
12-04
内容概要:本文围绕基于PhasorDetect手持NIRS设备的多光谱反射数据,开展组织氧饱和度的实时监测研究,并提供了完整的Matlab代码实现方案。基于PhasorDetect手持NIRS设备多光谱反射数据的组织氧饱和度实时监测研究(Matlab代码实现)研究内容涵盖近红外光谱技术的基本原理、多光谱数据采集方法、组织氧饱和度的计算模型以及实时监测系统的构建。通过Matlab对采集到的反射光谱数据进行预处理、特征提取与分析,结合光吸收特性与生物组织模型,实现了对人体组织血氧水平的动态估算与可视化监控。该方法具有非侵入性、便携性和实时性强的优点,适用于临床监护、运动生理监测等场景。; 适合人群:具备一定信号处理和生物医学工程背景,熟悉Matlab编程,从事医疗设备开发、生理参数监测或相关领域研究的研发人员及研究生。; 使用场景及目标:①实现基于NIRS技术的组织氧饱和度实时监测系统开发;②掌握多光谱数据处理与生理参数反演的完整流程;③为便携式医疗设备的设计与验证提供技术支持与算法参考。; 阅读建议:建议结合Matlab代码逐模块调试运行,理解数据预处理、模型构建与结果可视化的具体实现步骤,同时可扩展应用于其他生理参数监测项目中以提升实战能力。
wuguoyue_CryptoArbitrage-master_11484_1764827783840.zip
最新发布
12-04
wuguoyue_CryptoArbitrage-master_11484_1764827783840.zip
Trojan-Downloader.Win32.Agent.bbb 木马手动查杀
06-09
1. 打开任务管理器,结束所有Trojan-Downloader.Win32.Agent.bbb木马相关进程。 2. 删除Trojan-Downloader.Win32.Agent.bbb木马相关的注册表项。在开始菜单中输入“regedit”打开注册表编辑器,找到以下路径:HKEY_...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值