endurer 原创
2007-05-22  第1

今天终于有机会检查那台疑是中了ARP病毒的电脑

ARP病毒“吃里巴外”?
​​​http://endurer.bokee.com/6277614.html​​​javascript:void(0)
​http://blog.sina.com.cn/u/49926d91010008q6​

把网线断开,用U盘拷来 pe_xscan.exe、HijackThis.exe,bat_do.exe、FreeDLL.exe、FileInfo.exe、Dr.Web CureIt! 等工具备用。

先用 pe_xscan 扫描 log并分析,发现可疑项:

pe_xscan 07-03-17 by Purple Endurer
2007-5-22 12:15:52
Windows XP Service Pack 2(5.1.2600)
管理员用户组

[System Process] * 0
    G:/tool/3.exe | 2007-5-22 10:53:24
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/WINDOWS/system32/1mb0pe.l6v | 2004-8-17 12:0:0 | Microsoft(R) Windows(R) Operating System | 5.1.2600.2180 | Advanced Windows 32 Base API | (C) Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | advapi32.dll | advapi32.dll
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll | 2007-5-22 8:56:20
    C:/WINDOWS/system32/cmdbs.dll | 2007-5-22 8:56:20
    C:/WINDOWS/system32/mppds.dll | 2007-5-22 8:56:20
    C:/WINDOWS/system32/winform.dll | 2007-5-22 8:56:18
    C:/WINDOWS/system32/javavmj.dll | 2007-5-22 8:56:18

C:/WINDOWS/EXPLORER.EXE * 1524
    C:/WINDOWS/system32/pdkpri.dll | 2004-8-4 10:14:24
    C:/WINDOWS/system32/wscsv.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/TALSZG.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/javavmj.dll | 2007-5-22 8:56:18
    C:/WINDOWS/system32/winform.dll | 2007-5-22 8:56:18
    C:/WINDOWS/system32/mppds.dll | 2007-5-22 8:56:20
    C:/WINDOWS/system32/cmdbs.dll | 2007-5-22 8:56:20
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll | 2007-5-22 8:56:20
    c:/windows/system32/bd.dll
    C:/WINDOWS/system32/msacn.dll | 2004-8-17 12:0:0
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/Program Files/Common Files/Real/Update_OB/realsched.exe * 644
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/RunDll32.exe * 1180
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/ctfmon.exe * 2080
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/scvhost.exe * 2240
    C:/WINDOWS/system32/npp/ndisnpp.dll | 2004-8-17 12:0:0 | Microsoft? Windows? Operating System | 5.1.2600.2180 | Network Monitor NDIS Network Packet Provider | ? Microsoft Corporation. All rights reserved. | 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | NDISNPP.DLL | NDISNPP.DLL
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
C:/WINDOWS/system32/CONIME.EXE * 2356
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
C:/WINDOWS/system32/RunDll32.exe * 3880
    C:/WINDOWS/system32/TALSZG.dll | 2004-8-17 12:0:0
    C:/Program Files/QQ2006/q.dll | 2007-5-17 7:23:50
    C:/WINDOWS/system32/1.1 | 1601-1-2 7:8:43
    C:/WINDOWS/system32/hreax.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wtrmm.dll | 2004-8-17 12:0:0
    C:/WINDOWS/system32/wgptl.dll | 2004-8-17 12:0:0

O1 - (hosts文件的内容,太长,这里略了)

O4 - HKLM/../Run: [javavmj] C:/WINDOWS/javavmj.exe
O4 - HKLM/../Run: [winform] C:/WINDOWS/winform.exe
O4 - HKLM/../Run: [cmdbs] C:/WINDOWS/cmdbs.exe
O4 - HKLM/../Run: [mppds] C:/WINDOWS/mppds.exe
O4 - HKLM/../Run: [upxdnd] C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe
O4 - HKLM/../Run: [A] C:/WINDOWS/system32/rundll32.exe 1.1 s
O4 - HKLM/../Run: [KVP] C:/WINDOWS/system32/drivers/svchost.exe

I:/autorun.inf
/,--
[AutoRun]
open=000.exe
,--/

O23 - 服务: MSDebugsvc (Win32 Debug Service) - C:/WINDOWS/system32rundll32.exe msdebug.dll,input(自动)

O23 - 服务: WinDHCPsvc (Windows DHCP Service) - C:/WINDOWS/system32rundll32.exe windhcp.ocx,input(自动)

O23 - 服务: WindowsDown (Windows Ins) - C:/WINDOWS/system32/servet.exe | 2007-5-15 18:34:52(自动)

O23 - 服务: WindowsDown000 (Windows) - C:/WINDOWS/system32/000.exe | 2007-5-16 10:13:30(自动)

O23 - 服务: WinXPDHCPsvc (WinXP DHCP Service) - C:/WINDOWS/system32rundll32.exe xpdhcp.dll,input(自动)

O24 - [] - {42A612A4-4334-4424-4234-42261A31A236} = C:/WINDOWS/system32/pdkpri.dll
O24 - [Microsoft Data Tools Query Designe] - {1496D5ED-7A09-46D0-8C92-B8E71A4304DF} = C:/WINDOWS/system32/msacn.dll
O24 - [] - {B05AF49E-B05A-38D2-9E38-F49E38D27C16} = C:/WINDOWS/system32/TALSZG.dll

O25 - {AA312103-F04D-11cf-64CD-11EF5011CF20} = C:/WINDOWS/system32/nwizqjsj.exe

其中I:为U盘盘符,居然一插中就中标了……

检查 c:/windows/system32,发现一大堆可疑文件。

C:/>dir c:/windows/system32 /od /a
 驱动器 C 中的卷是 WINXP
 卷的序列号是 2A1D-0905

 c:/windows/system32 的目录

……(略)
2007-05-15  07:26            18,432 AVG.exe
2007-05-15  07:26            18,432 CFTMON.exe
2007-05-15  07:26            19,456 INETINF.exe
2007-05-15  07:27            21,504 LSASSS.exe
2007-05-15  07:27            17,408 SVCHOTS.exe
2007-05-15  07:27             7,020 ALP.exe
2007-05-15  07:27            12,288 SOUND.exe
2007-05-15  07:27            17,920 DATSC.exe
2007-05-15  07:27            25,357 MSTCS.exe
2007-05-15  07:27            13,312 ADOBESVC.exe
2007-05-15  18:34            16,619 servet.exe
2007-05-16  10:13            16,652 000.exe
2007-05-16  10:14               142 kupini.dll
2007-05-16  10:14            21,745 WanPacket.dll
2007-05-16  10:14            26,956 Packet.dll
2007-05-16  10:14            82,512 wpcap.dll
2007-05-16  10:37           253,647 SMSSS.exe
2007-05-17  07:23            42,929 1.1
2007-05-18  07:46             8,192 nwizqjsj.exe
2007-05-18  07:46             8,704 nwizqjsj.dll
2007-05-18  07:46            19,456 msdebug.dll
2007-05-18  0€D7:46            17,739 until.ttc
2007-05-18  07:46           196,608 QQ.exe
2007-05-18  07:46            11,776 DOWN.exe
2007-05-18  15:26            22,528 MY.exe
2007-05-18  15:26            18,944 RemoteDbg.dll
2007-05-21  08:50             2,206 wpa.dbl
2007-05-21  08:51            20,480 windhcp.ocx
2007-05-21  08:51            18,944 xpdhcp.dll
2007-05-22  08:56            12,288 winform.dll
2007-05-22  08:56             6,656 javavmj.dll
2007-05-22  08:56            12,288 cmdbs.dll
2007-05-22  08:56            14,848 mppds.dll
……(略)

用FileInfo 和 bat_do 提取部分文件信息并打包、删除文件。

文件说明符 : C:/WINDOWS/winform.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-21 8:51:14
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 7928aac5390bbc9eaeb6f31c1f52707f

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te,瑞星 报为Trojan.PSW.OnlineGames.blk

文件说明符 : C:/WINDOWS/system32/winform.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:42
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 2c984634f05b719f8613f6333ce41eea

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.te,瑞星 报为Trojan.PSW.Onli€DneGames.bln

文件说明符 : C:/WINDOWS/cmdbs.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-21 8:51:36
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 5f0bdc2268abc3cad0df489222c00595

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,-瑞星 报为Trojan.PSW.OnlineGames.awo

文件说明符 : C:/WINDOWS/system32/cmdbs.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:49
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : 67c3c6dc9a297ac4263b4a70d042a2c3

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,瑞星 报为Trojan.PSW.OnlineGames.awo

文件说明符 : C:/WINDOWS/mppds.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:5
修改时间 : 2007-5-17 7:23:36
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 8634660dddbdec6e0ac307e97fdfecf5

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qy,瑞星 报为Trojan.PSW.OnlineGames.bju

文件说明符 : C:/WINDOWS/system32/mppds.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 14848 字节 14.512 KB
MD5 : 7eed3cc661cdb28a9faf8f3578a72f28

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rt,瑞星 报为Trojan.PSW.OnlineGames.bhm

文件说明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:6
修改时间 : 2007-5-16 10:14:8
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : f4ab45ae2671f6bd9d85d957e3a198d2

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh,瑞星 报为Trojan.PSW.OnlineGames.big

文件说明符 : C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/upxdnd.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:7
修改时间 : 2007-5-22 8:56:20
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : e125ffbd86f5cb2844de79f09ddfedc0

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qh,瑞星 报为Trojan.PSW.OnlineGames.big

文件说明符 : C:/WINDOWS/system32/wgptl.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:/WINDOWS/system32/wtrmm.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:/WINDOWS/system32/hreax.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:/WINDOWS/system32/1.1
属性 : -SHR
获取文件版本信息大小失败!
创建时间 : n
修改时间 : n
访问时间 : n
大小 : 失败!
MD5 : d41d8cd98f00b204e9800998ecf8427e

Kaspersky 报为Trojan.Win32.Agent.aac,瑞星 报为Trojan.Mnless.luq

文件说明符 : C:/WINDOWS/system32/nwizqjsj.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:8
修改时间 : 2007-5-18 7:46:14
访问时间 : 2007-5-22 0:0:0
大小 : 8192 字节 8.0 KB
MD5 : 6921e0c6573d41ab4987c4c9bb58806b

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc,瑞星 报为Trojan.PSW.SunOnline.j

文件说明符 : C:/WINDOWS/system32/nwizqjsj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 8704 字节 8.512 KB
MD5 : 4318c362f4f100c62ee39e9a29aca23e

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.rc,瑞星 报为Trojan.PSW.SunOnline.j

文件说明符 : C:/WINDOWS/system32/TALSZG.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 76102 字节 74.326 KB
MD5 : 53cf7fef1871e74240f1d3b063872a67

Kaspersky 报为Trojan.Win32.Registrator.e,Dr.Web 报为BackDoor.Pigeon.1604

 

文件说明符 : C:/WINDOWS/system32/pdkpri.dll
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2004-8-4 10:14:22
修改时间 : 2004-8-4 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 29696 字节 29.0 KB
MD5 : 20a6e67b102439252b48834ae7de0f70

Kaspersky 报为Trojan-Spy.Win32.Delf.uv,瑞星 报为Trojan.PSW.QQHX.bm

文件说明符 : C:/WINDOWS/system32/msacn.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:/WINDOWS/system32/servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38

文件说明符 : C:/WINDOWS/system32/drivers/scvhost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-22 8:56:22
访问时间 : 2007-5-22 0:0:0
大小 : 11081 字节 10.841 KB
MD5 : 059725b53772a916f11e27517edb6bf0

Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Spy.Agent.dcq

文件说明符 : C:/Program Files/QQ2006/q.dll
属性 : ASHR
获取文件版本信息大小失败!
创建时间 : 2007-5-17 10:3:35
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 42929 字节 41.945 KB
MD5 : d1188636fe939be614aa1b453f7bd199

Dr.Web 报为 BackDoor.Pigeon.46

文件说明符 : C:/WINDOWS/system32/drivers/svchost.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:25
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b

Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Mnless.lpi

文件说明符 : C:/WINDOWS/system32/SPOOLVS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:23
修改时间 : 2007-5-14 7:56:44
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.RocOnline.bcp

文件说明符 : C:/WINDOWS/system32/AVG.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:3
修改时间 : 2007-5-15 7:26:30
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : 48efdfaf7b0170a86a835b90f81bbf89

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.ban

文件说明符 : C:/WINDOWS/system32/CFTMON.exe(endurer注:不是CTFMON.exe!)
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:25
修改时间 : 2007-5-15 7:26:32
访问时间 : 2007-5-22 0:0:0
大小 : 18432 字节 18.0 KB
MD5 : fcc4badc9fc99a3c0f8fe3b7ddb4fa10

文件说明符 : C:/WINDOWS/system32/INETINF.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:28
修改时间 : 2007-5-15 7:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : db6bd9e42944b340435c44db6fd2e9f7

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.sx,瑞星 报为Trojan.PSW.OnlineGames.bkm

文件说明符 : C:/WINDOWS/system32/LSASSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:4:57
修改时间 : 2007-5-15 7:27:2
访问时间 : 2007-5-22 0:0:0
大小 : 21504 字节 21.0 KB
MD5 : 4639d05843048b12735c2114f457db6c

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.fb,瑞星 报为Trojan.PSW.OnlineGames.bek

文件说明符 : C:/WINDOWS/system32/SOUND.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:12
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 12288 字节 12.0 KB
MD5 : ccc9dc92f988828c26de38d5a8115851

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.azv

文件说明符 : C:/WINDOWS/system32/SVCHOTS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:14
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 17408 字节 17.0 KB
MD5 : ad076e1844b66158a53068f63c18bd41

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.nb,瑞星 报为Trojan.PSW.OnlineGames.bgg

文件说明符 : C:/WINDOWS/system32/ALP.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:16
修改时间 : 2007-5-15 7:27:4
访问时间 : 2007-5-22 0:0:0
大小 : 7020 字节 6.876 KB
MD5 : 524d69a1141341a61635312d67ad22d8

Kaspersky 报为Trojan-PSW.Win32.WOW.qp,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.bbb

文件说明符 : C:/WINDOWS/system32/DATSC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 18:5:19
修改时间 : 2007-5-15 7:27:18
访问时间 : 2007-5-22 0:0:0
大小 : 17920 字节 17.512 KB
MD5 : f1a40a9fa4ffcb376e9fbcf0a74b0b56

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.PWS.Wsgame,瑞星 报为Trojan.PSW.OnlineGames.bbg

文件说明符 : C:/WINDOWS/system32/MSTCS.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.0
说明 : Microsoft Wisin Control
版权 : Microsoft Corporation. All rights reserved.
备注 :
产品版本 : 5.1.2600.0
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : wisin
源文件名 : Wisin.exe
创建时间 : 2007-5-10 18:5:27
修改时间 : 2007-5-15 7:27:22
访问时间 : 2007-5-22 0:0:0
大小 : 25357 字节 24.781 KB
MD5 : abf8b9249508a8a7d82bb1c0eca6f5a7

Kaspersky 报为Trojan-Downloader.Win32.Small.czl,Dr.Web 报为BackDoor.Twin,瑞星 报为Trojan.DL.Small.vcz

文件说明符 : C:/WINDOWS/system32/ADOBESVC.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-15 7:27:23
修改时间 : 2007-5-15 7:27:24
访问时间 : 2007-5-22 0:0:0
大小 : 13312 字节 13.0 KB
MD5 : 129275b9e3055f0e2caf78371b6cb42b

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,瑞星 报为Trojan.PSW.OnlineGames.bbn

文件说明符 : C:/WINDOWS/system32/servet.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:14:56
修改时间 : 2007-5-15 18:34:52
访问时间 : 2007-5-22 0:0:0
大小 : 16619 字节 16.235 KB
MD5 : 8d6d52f0c8df09526d20290874ef2b38

文件说明符 : C:/WINDOWS/system32/000.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:31
修改时间 : 2007-5-16 10:13:30
访问时间 : 2007-5-22 0:0:0
大小 : 16652 字节 16.268 KB
MD5 : 07c7128add5aed0197d66a15a59960d7

AVP报为 Trojan-Downloader.Win32.Delf.bjy,瑞星报为 Trojan.DL.Small.vax

文件说明符 : C:/WINDOWS/system32/kupini.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:22
修改时间 : 2007-5-16 10:14:24
访问时间 : 2007-5-22 0:0:0
大小 : 142 字节
MD5 : 75e7d1e28eeea0d55199851d09e904d1

文件说明符 : C:/WINDOWS/system32/wpcap.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : wpcap - Based on libpcap 0.9.3
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap high level library
公司名称 : CACE Technologies
合法商标 :
内部名称 : wpcap
源文件名 : wpcap.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 82512 字节 80.592 KB
MD5 : cc207b8798e1abfacbf33294ac795395

文件说明符 : C:/WINDOWS/system32/Packet.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : Packet
版权 : Copyright ? 1999-2005 NetGroup, Politecnico di Torino. Copyright ? 2005 CACE Technologies
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level packet library
公司名称 : CACE Technologies
合法商标 :
内部名称 : Packet
源文件名 : Packet.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 26956 字节 26.332 KB
MD5 : a04f24d9b37898ee9a738ac89f43aeef

文件说明符 : C:/WINDOWS/system32/WanPacket.dll
属性 : A---
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : WanPacket
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap low level NetMon wrapper library
公司名称 : CACE Technologies
合法商标 :
内部名称 : WanPacket
源文件名 : WanPacket.dll
创建时间 : 2007-5-16 10:14:24
修改时间 : 2007-5-16 10:14:26
访问时间 : 2007-5-22 0:0:0
大小 : 21745 字节 21.241 KB
MD5 : ca2b864f5c78393138530773af7a6873

文件说明符 : C:/WINDOWS/system32/SMSSS.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-10 10:15:32
修改时间 : 2007-5-16 10:37:0
访问时间 : 2007-5-22 0:0:0
大小 : 253647 字节 247.719 KB
MD5 : 839f9b8601dd81f7892604c6d794b736

Dr.Web 报为Trojan.PWS.Wsgame
这个文件包中的文件本身并非病毒,只是被病毒利用了。

文件说明符 : C:/WINDOWS/system32/msdebug.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:10
修改时间 : 2007-5-18 7:46:16
访问时间 : 2007-5-22 0:0:0
大小 : 19456 字节 19.0 KB
MD5 : 85bb9146c1a7906b51825d4849fc65b8

Kaspersky 报为Trojan.Win32.Agent.abf,瑞星 报为Trojan.Mnless.lvf

文件说明符 : C:/WINDOWS/system32/until.ttc
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:51
修改时间 : 2007-5-18 7:46:22
访问时间 : 2007-5-22 0:0:0
大小 : 17739 字节 17.331 KB
MD5 : 4716f549e9789dfc2f903ba9719b0807

文件说明符 : C:/WINDOWS/system32/QQ.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:23
修改时间 : 2007-5-18 7:46:24
访问时间 : 2007-5-22 0:0:0
大小 : 196608 字节 192.0 KB
MD5 : d081a24e65eef068dadf10354d31296b

Kaspersky 报为Backdoor.Win32.Delf.awy,瑞星 报为Trojan.Mnless.lpi

文件说明符 : C:/WINDOWS/system32/DOWN.exe
属性 : A---
语言 : 中文(中国)
文件版本 : 1.00
说明 :
版权 :
备注 :
产品版本 : 1.00
产品名称 : 工程1
公司名称 : 2ndSpAcE
合法商标 :
内部名称 : dl
源文件名 : dl.exe
创建时间 : 2007-5-16 10:14:27
修改时间 : 2007-5-18 7:46:26
访问时间 : 2007-5-22 0:0:0
大小 : 11776 字节 11.512 KB
MD5 : b4643ccfcde7c2c57bf9f16701800a73

Kaspersky 报为Trojan-Downloader.Win32.VB.axv,Dr.Web 报为Trojan.DownLoader.10548,瑞星 报为Trojan.DL.VB.nut

文件说明符 : C:/WINDOWS/system32/MY.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:59
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 22528 字节 22.0 KB
MD5 : 2c8aa101fb7dcb32ccda7acb02e08244

Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.Proxy.Small.rh

文件说明符 : C:/WINDOWS/system32/RemoteDbg.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:14:0
修改时间 : 2007-5-18 15:26:48
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : c7d92cc4d8a1a03f60b458391eec28b4

文件说明符 : C:/WINDOWS/system32/windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-16 10:13:47
修改时间 : 2007-5-21 8:51:20
访问时间 : 2007-5-22 0:0:0
大小 : 20480 字节 20.0 KB
MD5 : 051b0744460d524b88d9233546cb487b

Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.PSW.OnlineGames.bkf

文件说明符 : C:/WINDOWS/system32/xpdhcp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:2
修改时间 : 2007-5-21 8:51:42
访问时间 : 2007-5-22 0:0:0
大小 : 18944 字节 18.512 KB
MD5 : 887c741b5edf554b3592e8662053a678

Kaspersky 报为Trojan-Proxy.Win32.Small.du,瑞星 报为Trojan.PSW.Agent.jxp

文件说明符 : C:/WINDOWS/system32/javavmj.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:57:18
修改时间 : 2007-5-22 8:56:18
访问时间 : 2007-5-22 0:0:0
大小 : 6656 字节 6.512 KB
MD5 : e57d77531398977f8453640c9abdfa1d

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.es,Dr.Web 报为Trojan.Inject.255,瑞星 报为Trojan.PSW.OnlineGames.bbj

文件说明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[2].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-14 7:56:41
修改时间 : 2007-5-14 7:56:42
访问时间 : 2007-5-22 0:0:0
大小 : 13824 字节 13.512 KB
MD5 : 03c0f13cdcdd01f83a7e8473d674487f

Kaspersky 报为Trojan-PSW.Win32.OnLineGames.qw,Dr.Web 报为Tojan.PWS.Gamania,瑞星 报为Trojan.PSW.RocOnline.bcp

文件说明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/CHD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:43
修改时间 : 2007-5-17 7:23:46
访问时间 : 2007-5-22 0:0:0
大小 : 23040 字节 22.512 KB
MD5 : 3bca9403fa907000bc038af7a406c506

Kaspersky 报为Trojan-Proxy.Win32.Small.du,Dr.Web 报为 Trojan.Havedo,瑞星 报为Trojan.Proxy.Small.rf

文件说明符 : C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/WD[1].exe
属性 : ----
获取文件版本信息大小失败!
创建时间 : 2007-5-17 7:23:47
修改时间 : 2007-5-17 7:23:50
访问时间 : 2007-5-22 0:0:0
大小 : 70163 字节 68.531 KB
MD5 : 6293be30047f29324f96701fe1f76827

Kaspersky 报为Trojan.Win32.Agent.aac,Dr.Web 报为BackDoor.Pigeon.1604,瑞星 报为Trojan.Mnless.luq

c:/windows/system32/bd.dll这个文件因为时间的关系,没有拿到。

然后用Dr.Web CureIt!查杀C盘的一些目录,结果如下:
=================================
Dr.Web(R) Scanner for Windows v4.33.2 (4.33.2.10067)
---------------------------------
c:/windows/javavmj.exe infected with Trojan.PWS.Wsgame - deleted
c:/windows/system32/talszg.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
c:/windows/temp/avp.exe infected with Trojan.PWS.Wsgame - deleted

C:/Program Files/QQ2006/q.dll infected with BackDoor.Pigeon.46 - deleted

C:/WINDOWS/system32/javavmj.dll infected with Trojan.Inject.255 - will be cured after reboot
C:/WINDOWS/system32/TALSZG.dll infected with BackDoor.Pigeon.1604 - will be cured after reboot
C:/WINDOWS/temp/Kavs0.dll infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/LSASSS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/AVG[2].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/DATSC[2].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/SPOOLVS[2].exe infected with Trojan.PWS.Gamania - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/AVG[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/CHD[1].exe infected with Trojan.Havedo - deleted
>>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/WVQ9YYLV/DOWN[1].exe infected with Trojan.DownLoader.10548 - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/CFTMON[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/SOUND[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/MSTCS[1].exe infected with BackDoor.Twin - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/MH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/KUG2OAW3/WD[1].exe infected with BackDoor.Pigeon.1604 - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/SVCHOTS[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ALP[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ALP[2].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/JH[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/1EISTLGQ/ZT[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/ADOBESVC[1].exe infected with Trojan.PWS.Wsgame - deleted
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/INETINF[1].exe infected with Trojan.PWS.Wsgame - deleted
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/MSTCS[1].exe probably infected with BACKDOOR.Trojan
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/MSTCS[2].exe probably infected with BACKDOOR.Trojan
>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QJ[1].exe probably infected with MULDROP.Trojan
>>C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QQ[1].exe/data001 infected with Trojan.Sniff
C:/Documents and Settings/LocalService/Local Settings/Temporary Internet Files/Content.IE5/OGBOSEF1/QQ[1].exe - archive contains infected objects - moved

一些查不出来的用 bat_do.exe 的延时删除功能来解决。

用HijackThis修复O4、O23等项目。

下载安装瑞星卡卡安全助手修复O24等项目。

重启电脑,接上网线测试,打开一些国内网站的网页,检查源代码,没有发现被加入包含病毒网址的代码。