遭遇 Trojan.Win32.Agent.kle 等2

endurer 原创
2008-05-15 第1

(续1)

让网友进入如下处理:

把 O23项对应的服务停止并禁用

用IceSword强制删除红色标记的文件

安装瑞星卡卡安全助手删除O22和O23项

用WinRAR 删除Windows临时文件夹,IE临时文件夹,c:/windows/prefetch 中可以删除的文件。

重启电脑~

网友说开始是正常的,但一启动QQ,小红伞就又报靠发现病毒了~

让网友卸载QQ,重启电脑到安全模式,删除QQ的文件夹

重启电脑,再重新安装,这次小红伞就不再报靠发现病毒了~

部分病毒文件信息:

文件说明符 : D:/test/BECSMR.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-5-13 21:12:50
修改时间 : 2008-5-13 12:42:28
大小 : 2560 字节 2.512 KB
MD5 : 8acf186323e6dbd4f1fc9178d8db46d8
SHA1: 26EBA683A65655DA0F3604569E4FF0C76B4EE865
CRC32: 79cad196

文件说明符 : D:/Program Files/virus/26517.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.3119 (xpsp_sp2_gdr.070416-1301)
说明 : Windows NT BASE API Client DLL
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.3119
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : kernel32
源文件名 : kernel32
创建时间 : 2008-5-13 21:26:20
修改时间 : 2008-4-27 12:14:30
大小 : 94720 字节 92.512 KB
MD5 : 906b778f79eda8e22184ec6860a98cf8
SHA1: C581F853CF79B38B372466CFE047672A9388C6B4
CRC32: b02bb1e1

文件说明符 : D:/Program Files/virus/gjlbj.vya
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2008-5-13 21:49:22
修改时间 : 2008-1-9 16:59:14
大小 : 47426 字节 46.322 KB
MD5 : 8c28be8bc12693b4a97b7b0a2e8f50bb
SHA1: 80E5BB598DFF1F8594530604D511F5892AF10FAC
CRC32: a6acd904

卡巴斯基报为:Trojan.Win32.Agent.kle

文件说明符 : D:/test/QTVYP.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.3119 (xpsp_sp2_gdr.070416-1301)
说明 : Windows NT BASE API Client DLL
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.3119
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : kernel32
源文件名 : kernel32
创建时间 : 2008-5-13 21:52:18
修改时间 : 2007-4-16 23:54:26
大小 : 94720 字节 92.512 KB
MD5 : 906b778f79eda8e22184ec6860a98cf8
SHA1: C581F853CF79B38B372466CFE047672A9388C6B4
CRC32: b02bb1e1