system.dll,Nskhelper2.sys,oapejg.sys,991b0345.dat,NsPass0.sys等2-优快云博客

本文介绍了一种清除复杂恶意软件的方法，包括禁用关键服务、使用多种安全工具查杀及手动删除恶意文件等步骤。涉及的恶意软件包括Trojan-GameThief、Trojan.PSW和Worm.Win32.NSDownloader等。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

system.dll,Nskhelper2.sys,oapejg.sys,991b0345.dat,NsPass0.sys等2

endurer 原创
2008-12-03 第1版

先把 Application Management，Task Scheduler 和 System Restore Service 禁用了。

下载并安装卡卡安全助手，但是无法启动使用。

下载并安装超级巡警，刚查杀出task.exe，就出错退出，无法再启动。

到 http://purpleendurer.ys168.com 下载 FileInfo和bat_do。

重启电脑到到命令提示符的安全模式，运行FileInfo提取log中红色标记的文件的信息，用bat_do打包备份，

启动WinRAR，浏览并删除log中红色标记的文件，以及c:/windows/prefetch、Windows和IE临时文件夹中的东东。

用 copy 命令把c:/windows/system32/dllcache中的wiaservc.dll、w32time.dll复制到c:/windows/system32中。

运行卡卡安全助手，清理病毒启动项。

附部分恶意程序文件信息：

文件说明符 : C:/WINDOWS/Temp/267500
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 15:15:40
修改时间 : 2008-12-3 15:15:42
大小 : 30788 字节 30.68 KB
MD5 : 4117e968bcd1fade2caf4dd7709f5165
SHA1: 5709187F322C39170232D99116B567C2272A5E52
CRC32: 2c2ea721

卡巴斯基报为：Trojan-GameThief.Win32.WOW.ckf，瑞星报为：Trojan.PSW.Win32.WoWar.avw

文件说明符 : C:/WINDOWS/Temp/444062
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 15:18:36
修改时间 : 2008-12-3 15:18:38
大小 : 19056 字节 18.624 KB
MD5 : 966179274445d43c12ad9cbf04156703
SHA1: 860398C8567537D0C1B9CD84D74BF5D5E05AFD3B
CRC32: b2f2571b

卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.tvju，瑞星报为：Trojan.PSW.Win32.GameOL.sll

文件说明符 : C:/WINDOWS/system32/mcdxhwbu.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 15:16:3
修改时间 : 2008-12-3 15:16:4
大小 : 2460308 字节 2.354 MB
MD5 : 3f1121ef78943fd505aecd72364d99e9
SHA1: B2CD4D2E1661B74069184850583F2BFBD71139B3
CRC32: 04f89b0c

瑞星报为：Trojan.PSW.Win32.Agent.bqp

文件说明符 : C:/WINDOWS/TEMP/gameset.dat
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 15:18:32
修改时间 : 2008-12-3 15:18:34
大小 : 30060 字节 29.364 KB
MD5 : 5ca375d71e4402c4c9dc475a997863ba
SHA1: E863287D41DCC7AF67031A3472314384A3821F84
CRC32: 564599a8

卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.tvjb，瑞星报为：Trojan.PSW.Win32.GameOL.ser

文件说明符 : c:/system.dll
属性 : -SH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:13:27
修改时间 : 2008-12-3 16:1:26
大小 : 50688 字节 49.512 KB
MD5 : f2423745c81dd7ffcb6f0df977cacec3
SHA1: 55D5DB0D6788960A23EE298AA13D1DAFBFDEDD97
CRC32: c5fe92c4

卡巴斯基报为：Trojan.Win32.KillAV.azv，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/Nskhelper2.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:12:48
修改时间 : 2008-12-3 16:17:6
大小 : 3968 字节 3.896 KB
MD5 : c0042f5c6f2973108a7b0338a2bf9c06
SHA1: C66EE011BCB87CFA9A3F8DBC2E7980CF24F1252E
CRC32: b37f854e

卡巴斯基报为：Rootkit.Win32.Agent.fgg，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/NsPass0.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:13:57
修改时间 : 2008-12-3 16:15:28
大小 : 8576 字节 8.384 KB
MD5 : cb3be4a9ee8ead1df9a6d546237bf138
SHA1: 1C2BD855C62D32B073218D0AAB61DCBFEE59FBA0
CRC32: a5423258

卡巴斯基报为：Rootkit.Win32.Small.fm，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/NsPass1.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:14:59
修改时间 : 2008-12-3 16:17:42
大小 : 8576 字节 8.384 KB
MD5 : 3f0a5bccc21da32086f1403ee0932cd6
SHA1: 04F77E13CFE7E93F7D3D4808D3E7C22A9A391CC9
CRC32: c59d31b5

卡巴斯基报为：Rootkit.Win32.Small.fn，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/NsPass2.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:16:1
修改时间 : 2008-12-3 16:17:44
大小 : 8576 字节 8.384 KB
MD5 : 85237b09325c62da8276cb8a2bc9ced8
SHA1: 7966343015CC890AEF3A1D6C664A50F027E6BF2B
CRC32: 01b6ee20

卡巴斯基报为：Rootkit.Win32.Small.fo，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/NsPass3.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:17:4
修改时间 : 2008-12-3 16:17:46
大小 : 8576 字节 8.384 KB
MD5 : 8e1da86417bce762f59c6e1dc9caaa32
SHA1: DB3CDBA96E006A91153677C067798CAF4C43977D
CRC32: b1ec2a96

卡巴斯基报为：Rootkit.Win32.Small.fp，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/NsPass4.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:18:6
修改时间 : 2008-12-3 16:17:48
大小 : 8576 字节 8.384 KB
MD5 : 6f9b1fb6f0d5f77a947ffee619c452b3
SHA1: E1E8878483901DED1F74A71F6231C7D112144CF4
CRC32: cb03ef73

瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/System32/drivers/oapejg.sys
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 1, 3
说明 : sys 应用程序
版权 : 版权所有 (C) 2006
产品版本 : 1, 0, 1, 3
产品名称 : sys 应用程序
公司名称 : 北京三七二一科技有限公司
内部名称 : sys
源文件名 : sys.exe
创建时间 : 2008-11-28 9:2:47
修改时间 : 2008-11-28 9:2:48
大小 : 48128 字节 47.0 KB
MD5 : 0dca478b42f12cead839fd73b2148dbb
SHA1: 3B8C2CACE7CC7B106C8BF2A40718361D44EE3245
CRC32: fbd8712e

卡巴斯基报为：Trojan.Win32.Agent.tfc

文件说明符 : C:/WINDOWS/system32/991b0345.dat
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:59:4
修改时间 : 2008-12-3 11:59:6
大小 : 6048 字节 5.928 KB
MD5 : f173f8de7b116b7de847ac5f054f89f4
SHA1: B2FACC5F94DA08316A13663C90A9BF3EB04DADC8
CRC32: 487ee3f2

文件说明符 : C:/WINDOWS/system32/wonlinsk.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 11:57:55
修改时间 : 2008-12-3 16:48:46
大小 : 13824 字节 13.512 KB
MD5 : c6c540c1ef24bcfbccdac1af1379843f
SHA1: CD1793285F261A2B77BBFB938075E2E4B65398CE
CRC32: b3dd13b8

卡巴斯基报为：Trojan-GameThief.Win32.OnLineGames.tvzd，瑞星报为：Trojan.PSW.Win32.Agent.bqj

文件说明符 : C:/WINDOWS/task.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2002-6-28 7:23:29
修改时间 : 2002-5-6 22:20:14
大小 : 10240 字节 10.0 KB
MD5 : b21fee5dffc1711e338790c8da29a31b
SHA1: 9A0E31DD540B470B380DB6854CAACFACC63EA6F2
CRC32: 5de8ec1b

文件说明符 : c:/windows/system32/w32time.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-4 0:52:26
修改时间 : 2004-8-4 0:52:26
大小 : 182784 字节 178.512 KB
MD5 : de33e247e43b3224eef83b6e7cad3422
SHA1: 8CFB2320562D846936E14DE054411AAD3218D0C3
CRC32: 594b1290

卡巴斯基报为：Trojan.Win32.KillAV.azv，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : c:/windows/system32/dllcache/w32time.dll
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Windows Time Service
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : w32time.dll
源文件名 : w32time.dll
创建时间 : 2004-8-4 0:52:26
修改时间 : 2004-8-4 0:52:26
大小 : 182784 字节 178.512 KB
MD5 : 7a8b65971cdc45506d4923ac47239531
SHA1: 46993FEDB8FF9D239542B1E8A052907D630F187E
CRC32: 0e7e62ab

文件说明符 : C:/WINDOWS/system32/WIASERVC.DLL
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-4 0:52:28
修改时间 : 2006-12-20 2:17:10
大小 : 331776 字节 324.0 KB
MD5 : c30df4c3b86b7b2cbd0be1ba961ab339
SHA1: 870EE31BA042FF731C1C11BA480B8EA08E88A701
CRC32: 92431804

卡巴斯基报为：Trojan.Win32.KillAV.azv，瑞星报为：Worm.Win32.NSDownloader.j

文件说明符 : C:/WINDOWS/system32/dllcache/WIASERVC.DLL
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.3051 (xpsp_sp2_gdr.061219-0316)
说明 : Still Image Devices Service
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.3051
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : WIASERVC
源文件名 : WIASERVC.DLL
创建时间 : 2004-8-4 0:52:28
修改时间 : 2006-12-20 2:17:10
大小 : 331776 字节 324.0 KB
MD5 : dc750a7adc5ecb85a12729285fb72653
SHA1: C8D55C50DFF0D442E2DFA6B764CF89FA2F5996CC
CRC32: f3e7f80c

文件说明符 : C:/WINDOWS/System32/zongximk.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-12-3 15:14:6
修改时间 : 2008-12-3 15:14:6
大小 : 14336 字节 14.0 KB
MD5 : d6d37fe8143b47d64c04ae9fad7a590e
SHA1: 023D0A5CB6FE347068365DE87563511896C9C2D1
CRC32: 1d84e761

瑞星报为：Trojan.PSW.Win32.Agent.bqm