裝了卡巴電腦更卡?原來是Trojan-PSW.Win32.QQPass等盜號木馬群作梗2

裝了卡巴電腦更卡?原來是Trojan-PSW.Win32.QQPass等盜號木馬群作梗2

endurer 原創
2008-04-15 第1版

（續1）

開始修複~

到 http://purpleendurer.ys168.com下載bat_do和FileInfo並運行，到 http://tool.kaka.com 下載安裝瑞星卡卡安全助手並運行，掃描出4個流氓軟體，清除它們，接著切換到[進階功能]->]活動進程管理]，終止explorer.exe進程。

下面用 Alt+ Tab 鍵來切換我們所要用到的程式。

用 FileInfo 提取pe_xscan 中用紅色標記的檔案資訊，用bat_do打包備份並延時刪除，改檔案名稱，再次 延時刪除。

用卡卡安全肋手，切換到[進階功能]->]外掛程式管理與卸載]，按檔案名稱找到 O2、O24組的對應項並卸載；切換到[系統啟動項管理]，在左邊分別點擊[服務項]和[驅動]，找到 O23組的對應項， 右擊，從彈出的菜單中選擇刪除。

用WinRAR刪除Windows臨時檔案夾，IE臨時檔案夾，c:/windows/prefetch 中可以刪除的檔案。

按Ctrl + Alt + Esc 開啟工作管理員，重啟電腦，這下可以正常操作了。

卸載卡巴8，安裝卡巴7~

部分病毒檔案資訊：

檔案說明符 : C:/WINDOWS/system32/6to4ex.dll
屬性 : --H-
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 20:0:0
修改時間 : 2004-8-17 20:0:0
訪問時間 : 2008-4-12 0:0:0
大小 : 57856 位元組 56.512 KB
MD5 : 828ad4412b56d3925f66abdcd6836604
SHA1: CFFBACB34CF531B59C9D19BDB1031D3F84174F3E
CRC32: 7dc33d89

瑞星報為Trojan.Win32.Undef.dsn

檔案說明符 : C:/WINDOWS/system32/qqdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-4-12 11:7:48
訪問時間 : 2008-4-12 0:0:0
大小 : 17408 位元組 17.0 KB
MD5 : 59392204e1a73bb2d5f31fe8930f6b8f
SHA1: DDFF9335AC0B1F0F04BECC1F1BE12E4EA6C39881
CRC32: e47fe222

卡巴斯基報為 Trojan-PSW.Win32.OnLineGames.rxy，瑞星報為Trojan.PSW.Win32.QQHX.twg

檔案說明符 : C:/WINDOWS/system32/qzdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-4-12 11:8:2
訪問時間 : 2008-4-12 0:0:0
大小 : 15360 位元組 15.0 KB
MD5 : a43b1d9e22b84ad03b0e5355e84d42b7
SHA1: 8F4FB8398FA7D08BC800ED9F6A84710C17AB3756
CRC32: 3bd7773f

卡巴斯基報為 Trojan-PSW.Win32.QQPass.boj，瑞星報為Trojan.PSW.OnlineGames.bhv

檔案說明符 : C:/WINDOWS/system32/qsdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-4-12 11:8:54
訪問時間 : 2008-4-12 0:0:0
大小 : 14336 位元組 14.0 KB
MD5 : 4da29770039d320afedac704c13498bc
SHA1: CD22B294D5B6D7D9E2746090D282AA2469EF776E
CRC32: e8c23981

卡巴斯基報為 Trojan-PSW.Win32.OnLineGames.rxy，瑞星報為Trojan.PSW.OnlineGames.bhv

檔案說明符 : C:/WINDOWS/system32/qhdoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-4-12 11:5:40
訪問時間 : 2008-4-12 0:0:0
大小 : 23552 位元組 23.0 KB
MD5 : 478636fef46d9d72d09536aa9607de29
SHA1: 50E13CD8CD66CF7B34B1B78D2816FFDCF6CCE011
CRC32: eb764963

卡巴斯基報為 Trojan-PSW.Win32.OnLineGames.ure，瑞星報為Trojan.PSW.Win32.GameOL.mil

檔案說明符 : C:/WINDOWS/Fonts/mndoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-4-12 11:5:44
訪問時間 : 2008-4-12 0:0:0
大小 : 234496 位元組 229.0 KB
MD5 : 333775a97b449d56529ff6b20c1e8298
SHA1: 01E11BC389ED9D5763B6F2C171EF65B011E2B9B7
CRC32: 510853c7

卡巴斯基報為 Trojan-PSW.Win32.OnLineGames.aakv，瑞星報為Trojan.PSW.Win32.GamesOnline.sc

檔案說明符 : C:/WINDOWS/Fonts/mndoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2007-6-13 21:21:56
訪問時間 : 2008-4-12 0:0:0
大小 : 235008 位元組 229.512 KB
MD5 : b6ae9d94af526d5e8ee3d44771cd291c
SHA1: 1A85704D59D3006BEF4B205F80A85BB0C244F6F0
CRC32: e22c9490

卡巴斯基報為 Trojan-PSW.Win32.OnLineGames.zst，瑞星報為Trojan.PSW.Win32.GamesOnline.sc

檔案說明符 : C:/WINDOWS/system32/fhdoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-4-12 11:8:10
訪問時間 : 2008-4-12 0:0:0
大小 : 14848 位元組 14.512 KB
MD5 : 6d42d2f6b76998dee02f03ddebac7fcf
SHA1: 1CB1A7852B317F228E184A52AC47B4805AC147BC
CRC32: ee613eb9

卡巴斯基報為 Trojan-PSW.Win32.OnLineGames.rxy，瑞星報為Trojan.PSW.Win32.GameOL.msc

檔案說明符 : C:/WINDOWS/system32/tlsosa1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-17 12:0:0
修改時間 : 2008-3-22 12:12:8
訪問時間 : 2008-4-12 0:0:0
大小 : 0 位元組
MD5 : d41d8cd98f00b204e9800998ecf8427e
SHA1: DA39A3EE5E6B4B0D3255BFEF95601890AFD80709
CRC32: a4deae1d

檔案說明符 : C:/Program Files/Common Files/fjOs0r.dll
屬性 : ASH-
語言 : 中文(中國)
檔案版本 : 1. 0. 0. 1
說明 : Microsoft Corporation Windows DLL
著作權 : Copyright (C) 2001.01
備忘 :
產品版本 : 6.00.2900.3028
產品名稱 : Microsoft Windows Operating System
公司名稱 : Microsoft Corporation
合法商標 :
內部名稱 : Windows.dll 
源檔案名稱 : Windows.dll
建立時間 : 2008-3-22 8:36:54
修改時間 : 2008-4-12 11:40:40
訪問時間 : 2008-4-12 0:0:0
大小 : 34339 位元組 33.547 KB
MD5 : 8ae6ed8e5a653ea217afdfdcffae5729
SHA1: E2E1DB22BF1C00B676C4C39647F1C5F6494FB237
CRC32: bccc02e5

卡巴斯基報為 Trojan-PSW.Win32.Delf.apc，瑞星報為Trojan.PSW.Win32.GameOL.lxh

檔案說明符 : C:/WINDOWS/system32/drivers/npf.sys
屬性 : A---
語言 : 語言中性
檔案版本 : 3, 1, 0, 27
說明 : npf
著作權 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
備忘 :
產品版本 : 3, 1, 0, 27
產品名稱 : WinPcap Netgroup Packet Filter Driver
公司名稱 : CACE Technologies
合法商標 :
內部名稱 : NPF + TME
源檔案名稱 : npf.sys
建立時間 : 2008-2-25 16:8:21
修改時間 : 2008-2-25 16:8:22
訪問時間 : 2008-4-12 0:0:0
大小 : 32512 位元組 31.768 KB
MD5 : d21fee8db254ba762656878168ac1db6
SHA1: A394B1BC33A3C678E4B6B3C55373468E6AFA7B28
CRC32: e1ea4f2c