auto.exe,LotusHlp.dll,xsufjt.dll,PTSShell.exe,LYLoader.exe,n1197201377k.exe等


endurer 原创
2007-12-12 第1

 

病毒程序启动后,会抑制 IceSword 释放 驱动程序……

 

pe_xscan 的 log中的可疑项:

/===

pe_xscan 07-12-02 by Purple Endurer
2007-12-9 21:51:8
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    C:/WINDOWS/system32/xsufjt.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/LotusHlp.dll |

C:/WINDOWS/system32/csrss.exe * 660 | 2006-6-10 0:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Client Server Runtime Process | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CSRSS.Exe | CSRSS.Exe
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?|

C:/WINDOWS/system32/winlogon.exe * 684 | 2006-6-10 0:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Windows NT Logon Application | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | winlogon | WINLOGON.EXE
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?|

C:/WINDOWS/system32/services.exe * 728 | 2006-6-10 0:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Services and Controller app | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | services.exe | services.exe
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?|

C:/WINDOWS/system32/lsass.exe * 740 | 2006-6-10 0:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | LSA Shell (Export Version) | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | lsass.exe | lsass.exe
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?|

C:/WINDOWS/system32/svchost.exe * 888 | 2006-6-10 0:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?|

C:/WINDOWS/Explorer.EXE * 1636 | 2006-6-10 0:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?| ?
    C:/WINDOWS/system32/LotusHlp.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/xsufjt.dll |

C:/WINDOWS/SOUNDMAN.EXE * 1848 | 2006-1-11 15:8:36 | Realtek Sound Manager | 5, 1, 0, 51 | Realtek Sound Manager | Copyright (c) 2001-2004 Realtek Semiconductor Corp. | 5, 1, 0, 51 | Realtek Semiconductor Corp. |  | ALSMTray | ALSMTray.exe
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?| ?
    C:/WINDOWS/system32/LotusHlp.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/xsufjt.dll |

C:/WINDOWS/System32/svchost.exe * 2016 | 2006-6-10 0:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Generic Host Process for Win32 Services | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | svchost.exe | svchost.exe
    C:/WINDOWS/system32/80C1E512.dll | 2007-12-9 19:59:50| ?| ?| ?| ?| ?| ?| ?| ?|

G:/qttask.exe * 240 | 2007-7-19 0:0:12 | QuickTime | QuickTime 6.5| ? | ? Apple Computer, Inc. 2001-2004 | 6.5 | Apple Computer, Inc.| ? | QuickTime Task | QTTask.exe
    C:/WINDOWS/system32/LotusHlp.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/xsufjt.dll |

C:/WINDOWS/system32/ctfmon.exe * 392 | 2006-6-10 0:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | CTF Loader | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | CTFMON | CTFMON.EXE
    C:/WINDOWS/system32/LotusHlp.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/xsufjt.dll |

E:/QQ安装/QQ.exe * 2184 | 2007-11-18 18:34:2 | QQ | 7,0,365,1701 | QQ | Copyright (C) 1998 - 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT |  | COMQQD | QQ.exe
    C:/WINDOWS/system32/LotusHlp.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/xsufjt.dll |

E:/QQ安装/TIMPlatform.exe * 2268 | 2007-7-19 16:34:46 | QQ | 7,0,208,1651 | TIMPlatform | Copyright ? 2005 ━ 2007 TENCENT Inc. All Rights Reserved | 7,0,365,1701 | TENCENT |  | TIMPlatform | TIMPlatform.exe
    C:/WINDOWS/system32/xsufjt.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/LotusHlp.dll |

C:/Program Files/Internet Explorer/iexplore.exe * 2340 | 2006-6-10 8:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
    C:/WINDOWS/system32/xsufjt.dll | 2007-12-9 21:6:0
    C:/WINDOWS/system32/LotusHlp.dll |

O3 - IE工具栏:  - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:/PROGRA~1/baidu/bar/BaiduBar.dll

O4 - HKCU/../Run: [bgswitch] C:/WINDOWS/system32/bgswitch.exe
O4 - HKLM/../Run: [TkBellExe] "realsched.exe"  -osboot

O4 - HKLM/../Run: [PTSShell] C:/WINDOWS/PTSShell.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDEG32] LYLoader.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDWG32] LYLoadbr.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDCG32    ] LYLeador.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDOG32] LYLoador.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDSG32] LYLoadar.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDMG32] LYLoadmr.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDHG32] LYLoadhr.exe
O4 - HKLM/../Policies/Explorer/Run: [MSDQG32] LYLoadqr.exe

C:/autorun.inf
/-----
[AutoRun]
shellexecute=auto.exe
shell/Auto/command=auto.exe
open=auto.exe
-----/
E:/autorun.inf
/-----
[AutoRun]
shellexecute=auto.exe
shell/Auto/command=auto.exe
open=auto.exe
-----/

 

O9 - IE工具栏扩展按钮HKLM:中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll
O9 - IE工具菜单扩展项HKLM:中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:/PROGRA~1/CNNIC/Cdn/cdnforie.dll

O23 - 服务: 5EF77F72 (5EF77F72) - C:/WINDOWS/system32/C45FDF8.EXE -k | 2007-12-9 19:56:18| ?| ?| ?| ?| ?| ?| ?| ?| ?(自动)
O23 - 服务: ADProt (ADProt) - C:/WINDOWS/system32/drivers/ADProt.sys(系统)
O23 - 服务: cdnprot (cdnprot) - system32/drivers/cdnprot.sys(引导)

HKLM/SHOWALL    值非1

===/


c:/windows/system32/del.bat
/---
@echo off
:selfkill
del /F /Q "C:/WINDOWS/SYSTEM32/N1197201377K.EXE"
if exist "C:/WINDOWS/SYSTEM32/N1197201377K.EXE" goto selfkill
del %0
---/

文件说明符 : C:/auto.exe
属性 : --H-
语言 : 英语(美国)
文件版本 :
说明 :
版权 :
备注 :
产品版本 :
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-12-5 12:47:41
修改时间 : 2007-12-9 19:56:18
访问时间 : 2007-12-9 0:0:0
大小 : 12769 字节 12.481 KB
MD5 : 64f3760c097594554c043f791971bed6
SHA1: 7AEAB9BC6600AC033004FCA8E2E2C95D0A36571A
CRC32: 494bc7a4

Kaspersky 报为 Virus.Win32.AutoRun.aks,瑞星 报为 Worm.Win32.Agent.zfz

E:/auto.exe
C:/WINDOWS/system32/C45FDF8.EXE
C:/WINDOWS/system32/n1197201377k.exe
C:/WINDOWS/system32/n1197207734k.exe
C:/WINDOWS/system32/n1197207750k.exe
C:/WINDOWS/system32/n1197207766k.exe
C:/WINDOWS/system32/n1197207782k.exe
与 C:/auto.exe 相同。

文件说明符 : C:/WINDOWS/LotusHlp.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 20:36:26
修改时间 : 2007-12-9 20:3:54
访问时间 : 2007-12-9 0:0:0
大小 : 16163 字节 15.803 KB
MD5 : 347721716a147680fb775c02afbec61b
SHA1: 55FD7DE69275D96DBD736781C44CB7F19E4AE27C
CRC32: 56daa552

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ked,瑞星 报为 Trojan.PSW.Win32.GameOL.bz

C:/WINDOWS/system32/k119716526813.exe 与 C:/WINDOWS/LotusHlp.exe 相同。

文件说明符 : C:/WINDOWS/PTSShell.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:35:9
修改时间 : 2007-12-9 20:3:58
访问时间 : 2007-12-9 0:0:0
大小 : 16160 字节 15.800 KB
MD5 : 4e2b75e9a46d25bf3b59bfa6b9e96026
SHA1: 1AF1E7D73901932A2D16CADD21C065C28D741C30
CRC32: b27b3798

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kfp,瑞星 报为 Trojan.PSW.Win32.QQHX.ttc

文件说明符 : C:/WINDOWS/system32/80C1E512.DLL
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 :
备注 :
产品版本 :
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-12-5 12:47:39
修改时间 : 2007-12-9 19:59:50
访问时间 : 2007-12-9 0:0:0
大小 : 45056 字节 44.0 KB
MD5 : 480fe086502f2d31c0e948c1c04fbffb
SHA1: 77E790CC82978E063750AD5FA697EB04C3B9C26B
CRC32: 7c040fd3

文件说明符 : C:/WINDOWS/system32/PTSShell.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 20:38:26
修改时间 : 2007-12-9 19:59:56
访问时间 : 2007-12-9 0:0:0
大小 : 25088 字节 24.512 KB
MD5 : 4c67ab6a7231b81bc3f29689fa9dd4ea
SHA1: EE8672A8FFD8526DAC16079FA78461345794AB90
CRC32: 803d0a3a

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kfp,瑞星 报为 Trojan.PSW.Win32.QQHX.ttc

文件说明符 : C:/WINDOWS/system32/LotusHlp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-9 20:5:58
修改时间 : 2007-12-9 20:6:0
访问时间 : 2007-12-9 0:0:0
大小 : 25088 字节 24.512 KB
MD5 : a5905988404db1135bbeb3f9fbddb96c
SHA1: 768A08F78460EA61908BF7D4B006D24B086D6BB5
CRC32: 31937b43

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.ked,瑞星 报为 Trojan.PSW.Win32.GameOL.bz

文件说明符 : C:/WINDOWS/system32/xsufjt.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-9 20:5:59
修改时间 : 2007-12-9 20:6:0
访问时间 : 2007-12-9 0:0:0
大小 : 25088 字节 24.512 KB
MD5 : 4c67ab6a7231b81bc3f29689fa9dd4ea
SHA1: EE8672A8FFD8526DAC16079FA78461345794AB90
CRC32: 803d0a3a

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.kfq,瑞星 报为 Trojan.PSW.Win32.QQHX.ttc

文件说明符 : C:/WINDOWS/system32/mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:34:55
修改时间 : 2007-12-8 9:37:22
访问时间 : 2007-12-9 0:0:0
大小 : 28160 字节 27.512 KB
MD5 : 05f2c3021278c18bbdb9fcdcf2b3f388
SHA1: AD1DFF9E74372C28FFD2F78DF6C1F41791106161
CRC32: e7d60120

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jyd,瑞星 报为 Trojan.PSW.Win32.GameOL.ac

文件说明符 : C:/WINDOWS/system32/cmdbcs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:35:0
修改时间 : 2007-12-8 9:37:26
访问时间 : 2007-12-9 0:0:0
大小 : 27648 字节 27.0 KB
MD5 : 7d78ba54c1306ad875bd0213bb2cb005
SHA1: 494E7287E7CD8ABF75DFF037F178DC6014CA9641
CRC32: be551664

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jya,瑞星 报为 Trojan.PSW.Win32.GameOL.at

文件说明符 : C:/WINDOWS/system32/msccrt.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:35:3
修改时间 : 2007-12-8 9:37:26
访问时间 : 2007-12-9 0:0:0
大小 : 27136 字节 26.512 KB
MD5 : b79c27b52934cdcbf6dfd123b4fef0a9
SHA1: 2629AEFB9D82B95A5397EEECF3B40A049771E219
CRC32: e57ce280

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jye,瑞星 报为 Trojan.PSW.Win32.GameOL.ag

文件说明符 : C:/WINDOWS/system32/NVDispDrv.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:34:58
修改时间 : 2007-12-8 9:37:26
访问时间 : 2007-12-9 0:0:0
大小 : 25088 字节 24.512 KB
MD5 : 37f11c192d4d1b35a6f579c0403ccf15
SHA1: FD0A909CA8B20091BE92551BF3EF990DFEBCEECE
CRC32: 11c6f96d

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jyh,瑞星 报为 Trojan.PSW.Win32.GameOL.aq

文件说明符 : C:/WINDOWS/system32/MsPrint32D.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:34:59
修改时间 : 2007-12-8 9:37:26
访问时间 : 2007-12-9 0:0:0
大小 : 25088 字节 24.512 KB
MD5 : 6b684cea97e20d69695711124355a918
SHA1: 06ABA939E84B587C14C990A0E8382CD37AF227AA
CRC32: 165c44c8

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jyg,瑞星 报为 Trojan.PSW.Win32.QQSG.az

文件说明符 : C:/WINDOWS/system32/k119707789416.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:41:14
修改时间 : 2007-12-8 9:41:16
访问时间 : 2007-12-9 0:0:0
大小 : 16192 字节 15.832 KB
MD5 : 62f89bd701f4e07797ee051a2c47d179
SHA1: A6D8F598E530C23D5B60A65F68F7FEDFB5277F23
CRC32: 793c7684

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jyi,瑞星 报为 Trojan.PSW.Win32.GameOL.au

文件说明符 : C:/WINDOWS/system32/LYMANGR.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:34:49
修改时间 : 2007-12-8 9:47:0
访问时间 : 2007-12-9 0:0:0
大小 : 3566 字节 3.494 KB
MD5 : c66e4e86a98b09e4d9dfe3a43ef76f88
SHA1: E82CA87E289B06E7401135CF7789FE33923E97EF
CRC32: 651cc086

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jxv,瑞星 报为 Trojan.PSW.Win32.GameOL.as

文件说明符 : C:/WINDOWS/system32/MSDEG32.DLL
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:34:49
修改时间 : 2007-12-8 9:47:0
访问时间 : 2007-12-9 0:0:0
大小 : 6014 字节 5.894 KB
MD5 : ce7cc361ba9a44b40363d0725656be46
SHA1: 98F319ED69E49FBE4D87DE5315D161CEEB35929F
CRC32: effe1647

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.jyj,瑞星 报为 Trojan.PSW.Win32.XYOnline.vv

文件说明符 : C:/WINDOWS/system32/GenProtect.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-12-8 9:47:5
修改时间 : 2007-12-8 9:47:6
访问时间 : 2007-12-9 0:0:0
大小 : 127488 字节 124.512 KB
MD5 : 446058e862fe6846e08845e15de4d4c3
SHA1: E72B427C6B76F45CF8F04654636BAA1991C60F3E
CRC32: 80b02e2f

Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.juy,瑞星 报为 Trojan.PSW.Win32.GameOL.ae

文件说明符 : C:/WINDOWS/system32/n1197117082k.exe
属性 : A---
语言 : 英语(美国)
文件版本 :
说明 :
版权 :
备注 :
产品版本 :
产品名称 :
公司名称 :
合法商标 :
内部名称 :
源文件名 :
创建时间 : 2007-12-8 20:31:23
修改时间 : 2007-12-8 20:31:24
访问时间 : 2007-12-9 0:0:0
大小 : 12721 字节 12.433 KB
MD5 : 8b1fbb951ef98dbe598eaea7cdbfee30
SHA1: EA9EC825140D2F97E36D2ACF5882D17505C497A0
CRC32: d862ff07

Kaspersky 报为 Trojan-Downloader.Win32.Agent.fvu,瑞星 报为 Worm.Win32.Agent.zfx