遭遇Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.QQPass等
endurer 原创
2007-11-20 第1版
今天中午,一位网友说她的电脑中毒了,开不了网页,让偶通过QQ远程协助帮忙检修。
先看瑞星的历史记录:
/---
病毒名称 处理结果 扫描方式 路径 文件 病毒来源
Trojan.Win32.Mnless.zjb 删除成功 手动扫描 C:/WINDOWS/system32/drivers pcibus.sys 本机
Trojan.PSW.Win32.SunOnline.gc 删除成功 手动扫描 c:/windows/system32 qjatl.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.zm 删除成功 手动扫描 c:/windows/system32 gjatl.dll>>upack0.34 本机
Trojan.PSW.Win32.DJOnline.as 删除成功 手动扫描 c:/windows/system32 djatl.dll>>upack0.34 本机
Trojan.PSW.Win32.TLOnline.jjk 删除成功 手动扫描 c:/windows/system32 tlatl.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.aea 删除成功 手动扫描 c:/windows/system32 dthxatl.dll>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.ahg 删除成功 手动扫描 C:/WINDOWS/system32 LotusHlp.dll 本机
Worm.Win32.PaBug.dv 删除成功 手动扫描 c:/windows/system32 qqsetupe.log>>upx_c 本机
AdWare.Win32.Dodolook.ff 需要解压缩后杀毒 手动扫描 C:/WINDOWS/system32 qqsetupt.log>>$[30]/01.exe>>aspr.ske.2.x 本机
Trojan.PSW.Win32.LMir.yys 删除成功 手动扫描 C:/WINDOWS 49400MM.DLL 本机
Trojan.PSW.Win32.Woool.c 删除成功 手动扫描 C:/WINDOWS 49400WL.DLL 本机
Trojan.PSW.Win32.GameOnline.ahg 删除成功 手动扫描 c:/windows lotushlp.exe>>upack0.39 本机
Trojan.PSW.Win32.GameOnline.ahb 删除成功 手动扫描 c:/documents and settings/user/local settings/temp tmp2f2.tmp>>upack0.34 本机
Trojan.PSW.Win32.QQPass.yxt 删除成功 手动扫描 c:/documents and settings/user/local settings/temp tmp2f6.tmp>>upack0.34 本机
Trojan.PSW.Win32.GameOnline.yd 删除成功 手动扫描 c:/documents and settings/user/local settings/temp tmp306.tmp>>upack0.34 本机
Trojan.Win32.Mnless.zgw 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt rl[1].exe>>upack0.39 本机
Trojan.PSW.Win32.GameOnline.adu 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt 15[1].exe>>upack0.36 本机
Trojan.PSW.Win32.ZhengTu.ylt 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt 16[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.aeh 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/cd3v45xt 21[1].exe>>upack0.36 本机
Trojan.PSW.Win32.QQPass.yxt 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/1n9ozejy 4[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.aen 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/1n9ozejy 17[1].exe>>nspack 本机
Trojan.PSW.Win32.GameOnline.aei 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/1n9ozejy 23[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.ahg 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/hy45k8y7 24[1].exe>>upack0.39 本机
Trojan.PSW.Win32.GameOnline.aha 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej 5[1].exe>>nspack 本机
Trojan.PSW.Win32.DJOnline.as 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej 12[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.ahb 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej 7[1].exe>>upack0.34 本机
Worm.Win32.PaBug.dv 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/syuaaqej about[1].gif>>upx_c 本机
Dropper.Win32.XYOnline.v 删除成功 手动扫描 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/YN87TMZI 1[1].exe 本机
Trojan.PSW.Win32.WoWar.afd 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/yn87tmzi 18[1].exe>>upack0.36 本机
AdWare.Win32.Dodolook.ff 需要解压缩后杀毒 手动扫描 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/YN87TMZI link[1].gif>>$[30]/01.exe>>aspr.ske.2.x 本机
Trojan.Script.JS.Agent.i 删除成功 手动扫描 C:/Documents and Settings/user/Local Settings/Temporary Internet Files/Content.IE5/49MBK523 haha[1].htm 本机
Trojan.PSW.Win32.GameOnline.aen 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/49mbk523 19[1].exe>>nspack 本机
Trojan.PSW.Win32.SunOnline.fy 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/sdyj0dmf 10[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.aey 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/sdyj0dmf 20[1].exe>>upack0.36 本机
Trojan.PSW.Win32.GameOnline.zm 删除成功 手动扫描 c:/documents and settings/user/local settings/temporary internet files/content.ie5/oper0pqf 11[1].exe>>upack0.36 本机
Worm.Win32.PaBug.dv 删除成功 手动扫描 c:/program files/internet explorer/plugins syswin7k.jmp>>upx_c 本机
Trojan.Win32.Sharer.d 删除成功 手动扫描 c:/program files/装机人员工具/oem-diy 品牌自己做 5.0 guide.exe>>Aspack212r 本机
---/
下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
卸载腾讯地址栏搜索,中文搜搜
启动卡卡安全助手,先在[基本功能]—>[查杀恶意及流氓软件],扫描并清理流氓软件
然后在[高级功能]—>[插件管理及卸载]里把 3 个O24 项卸载掉。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[驱动],在右边找到两个 O23项对应的项目,右击,从弹出的菜单里选择删除。
在[高级功能]—>[IE及系统修复]里,可以看到导致网页打不开的原凶——红色显示的c:/windows/system32/videodevice.dll,修复。
接下来现在要处理的文件有:
C:/WINDOWS/ylgazb.exe
C:/WINDOWS/system32/1.exe(用WinRAR检查时发现的)
C:/WINDOWS/system32/ProcSvr01.dll
C:/WINDOWS/system32/SVCCtrl01.dll
C:/WINDOWS/system32/GenProtect.dll
C:/WINDOWS/system32/zwth1i2c4s.dll
C:/WINDOWS/System32/DRIVERS/jxlbod.sys
C:/WINDOWS/system32/drivers/m03f2e.sys
C:/Program Files/Internet Explorer/PLUGINS/Wn_Sys8x.Sys
到http://purpleendurer.ys168.com 下载 bat_do 和FileInfo。
用 FileInfo 提取文件信息,用 bat_do 打包备份,延时删除,生成去除属性,删除,改名命令,下次启动时执行。
其中C:/WINDOWS/system32/zwth1i2c4s.dll无法操作, 到http://endurer.ys168.com 下载 IceSword,复制了一个,然后强制删除。
用 WinRAR 删除 Windows临时文件夹,IE临时文件夹,d:/windows/prefetch 中可以删除的文件。
重启电脑~