Trojan.PSW.OnlineGames、Trojan.HiJack.a、Trojan.PSW.ZhuXian.b解决办法
endurer 原创
2007-06-08 第1版一位网友说他的电脑最近反应速度很慢,让偶通过QQ远程协助帮忙检修。先用msconfig检查,发现了一些可疑启劝项,把金山毒霸升级到最新后扫描系统,没有发现病毒。到 http://endurer.ys168.com 下载 HijackThis 和 瑞星杀毒助手 Aide4Rav。到 http://purpleendurer.ys168.com 下载FreeDLL、FileInfo、bat_do。下载 pe_xscan 扫描 log 并分析,发现如下可疑项:
/---
pe_xscan 07-06-04 by Purple Endurer
2007-6-7 12:12:54
Windows xp Service Pack 2(5.1.2600)
管理员用户组 [System Process] * 0
D:\TEMP\mhso1.dll | 2007-6-7 8:54:14
D:\TEMP\ztso1.dll | 2007-6-7 8:54:10
D:\TEMP\daso0.dll | 2007-6-7 8:53:6
D:\TEMP\tlso0.dll | 2007-6-7 8:53:6
D:\TEMP\wdso0.dll | 2007-6-7 8:53:6
D:\TEMP\qjso0.dll | 2007-6-7 8:53:6
D:\TEMP\rxso0.dll | 2007-6-7 8:53:6
D:\TEMP\wmso0.dll | 2007-6-7 8:53:6
D:\TEMP\wlso0.dll | 2007-6-7 8:53:4
D:\TEMP\wgso0.dll | 2007-6-7 8:53:6
D:\TEMP\jtso0.dll | 2007-6-7 8:53:4
D:\TEMP\fyso0.dll | 2007-6-7 8:53:4 C:\WINDOWS\Explorer.EXE * 376 | 2004-8-16 8:39:14 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:\Program Files\Internet Explorer\romdrivers.dll | 2007-6-7 8:53:4 | Microsoft(R) Windows (R) System | 5.00.1.0.1 | Microsoft Corporation Windows DLL | Copyright (C) 2006.6 | 1. 0. 0. 1 | Microsoft Corporation| ? | System | System.dll
D:\TEMP\fyso0.dll | 2007-6-7 8:53:4
D:\TEMP\jtso0.dll | 2007-6-7 8:53:4
D:\TEMP\wlso0.dll | 2007-6-7 8:53:4
D:\TEMP\wgso0.dll | 2007-6-7 8:53:6
D:\TEMP\wmso0.dll | 2007-6-7 8:53:6
D:\TEMP\rxso0.dll | 2007-6-7 8:53:6
D:\TEMP\qjso0.dll | 2007-6-7 8:53:6
D:\TEMP\wdso0.dll | 2007-6-7 8:53:6
D:\TEMP\tlso0.dll | 2007-6-7 8:53:6
D:\TEMP\daso0.dll | 2007-6-7 8:53:6
D:\TEMP\ztso1.dll | 2007-6-7 8:54:10
D:\TEMP\mhso1.dll | 2007-6-7 8:54:14 O4 - HKLM\..\Run: [jmekey] C:\Program Files\jmesoft\hotkey.exe
O4 - HKLM\..\Run: [wosa] D:\TEMP\woso.exe
O4 - HKLM\..\Run: [ztsa] D:\TEMP\ztso.exe
O4 - HKLM\..\Run: [mhsa] D:\TEMP\mhso.exe
O4 - HKLM\..\Run: [fysa] D:\TEMP\fyso.exe
O4 - HKLM\..\Run: [jtsa] D:\TEMP\jtso.exe
O4 - HKLM\..\Run: [wlsa] D:\TEMP\wlso.exe
O4 - HKLM\..\Run: [wgsa] D:\TEMP\wgso.exe
O4 - HKLM\..\Run: [wmsa] D:\TEMP\wmso.exe
O4 - HKLM\..\Run: [qjsa] D:\TEMP\qjso.exe
O4 - HKLM\..\Run: [rxsa] D:\TEMP\rxso.exe
O4 - HKLM\..\Run: [wdsa] D:\TEMP\wdso.exe
O4 - HKLM\..\Run: [tlsa] D:\TEMP\tlso.exe
O4 - HKLM\..\Run: [dasa] D:\TEMP\daso.exe O24 - ShlExecHook: [] - {0CD68AC9-FF63-3E61-626B-B663E62F6236} = C:\Program Files\Internet Explorer\romdrivers.dll O25 - InsCom: {11716107-A10D-11cf-64CD-11115FE1CF41} = C:\Windows\system32\nwizzhuxians.exe
---/ 还有几个很少见的服务:
/---
O23 - 服务: ScbkEx (StarCenter Backup Volume Filter Driver) - scdriver\ScbkEx.sys(引导)
O23 - 服务: ScCchMgr (StarCenter Cache Manager File System Filter Driver) - scdriver\ScCchMgr.sys(引导)
O23 - 服务: SSCFLT (SSCFLT) - scdriver\SSCFLT.SYS | Windows (R) 2000 DDK driver | 5.1.2600.1106 | File System Filter Driver | | 5.1.2600.1106 built by: WinDDK | Windows (R) 2000 DDK provider| ? | kfilter.sys | kfilter.sys(引导)
O23 - 服务: SSCFS (SSCFS) - scdriver\sscfs.sys(引导)
O23 - 服务: SSFltPT () - scdriver\ssfltpt.sys(引导)
---/ 用 FileInfo 提取可疑文件信息,用 bat_do 打包备份。
文件说明符 : D:\TEMP\daso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:49:48
修改时间 : 2007-6-5 8:52:44
访问时间 : 2007-6-7 0:0:0
大小 : 48212 字节 47.84 KB
MD5 : 480ae4853c16bdaf375d77a5e4a67923 文件说明符 : D:\TEMP\fyso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:49:14
修改时间 : 2007-6-5 8:51:42
访问时间 : 2007-6-7 0:0:0
大小 : 46477 字节 45.397 KB
MD5 : 721ab9919eaf7ebc4b249715467a0f6d 文件说明符 : D:\TEMP\jtso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:49:18
修改时间 : 2007-6-5 8:51:52
访问时间 : 2007-6-7 0:0:0
大小 : 45975 字节 44.919 KB
MD5 : 89ae2ed2635a9bf6da1a5cae1966020c 文件说明符 : D:\TEMP\mhso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 16:56:30
修改时间 : 2007-6-7 8:54:14
访问时间 : 2007-6-7 0:0:0
大小 : 47759 字节 46.655 KB
MD5 : aa508138db49999b44b061fcce3e1ffd 文件说明符 : D:\TEMP\qjso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:49:34
修改时间 : 2007-6-5 8:52:16
访问时间 : 2007-6-7 0:0:0
大小 : 47094 字节 45.1014 KB
MD5 : b9d2afbf5f833778491c8f088d672a8d 文件说明符 : D:\TEMP\r
|