遭遇Win32.Loader.c,Trojan.PSW.Win32.GameOnline,Trojan.PSW.Win32.AskTao等2
endurer 原創
2007-11-22 第1版
檢查發現 除C盤外的其它盤上的EXE檔案的最後修改時間相似,檔案大小增長,如HijackThis 1.99.1英文版本的檔案,正常大小為 218,112 位元組,被感染後的 223,585 位元組,應該是被感染了,難怪運行時,防火牆會提示程式要訪問網路。
使用瑞星線上免費掃描,到 http://endurer.ys168.com 下載瑞星殺毒助手,儲存掃描結果如下(有省略):
/===
2007-11-21 10:38:7 瑞星殺毒助手
Windows XP Service Pack 2(5.1.2600)
檔案名稱 病毒名
Explorer.EXE>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
Explorer.EXE>>C:/WINDOWS/system32/csdoor1.dll Trojan.PSW.Win32.GameOnline.aif
Explorer.EXE>>C:/WINDOWS/system32/wgdoor0.dll Trojan.PSW.Win32.WLOnline.jjq
Explorer.EXE>>C:/WINDOWS/system32/rxdoor0.dll Trojan.PSW.Win32.GameOnline.yi
Rundll32.exe>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
wscntfy.exe>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
YLive.exe>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
yassistse.exe>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
RUNDLL32.EXE>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
notepad.exe>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
notepad.exe>>C:/WINDOWS/system32/rxdoor0.dll Trojan.PSW.Win32.GameOnline.yi
notepad.exe>>C:/WINDOWS/system32/wgdoor0.dll Trojan.PSW.Win32.WLOnline.jjq
notepad.exe>>C:/WINDOWS/system32/csdoor1.dll Trojan.PSW.Win32.GameOnline.aif
notepad.exe>>C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
notepad.exe>>C:/WINDOWS/system32/rxdoor0.dll Trojan.PSW.Win32.GameOnline.yi
notepad.exe>>C:/WINDOWS/system32/wgdoor0.dll Trojan.PSW.Win32.WLOnline.jjq
notepad.exe>>C:/WINDOWS/system32/csdoor1.dll Trojan.PSW.Win32.GameOnline.aif
c:/windows/system32/dllcache/svchost.exe>>upx_c Trojan.PSW.Win32.GameOnline.aaq
C:/WINDOWS/system32/wodoor0.dll Trojan.PSW.Win32.GameOnline.yl
C:/WINDOWS/system32/55550.dll Trojan.PSW.Win32.GameOnline.ym
C:/WINDOWS/system32/csdoor0.dll Trojan.PSW.Win32.Woool.a
C:/WINDOWS/system32/wldoor0.dll Trojan.PSW.Win32.RocOnline.cn
C:/WINDOWS/system32/wgdoor0.dll Trojan.PSW.Win32.WLOnline.jjq
C:/WINDOWS/system32/dadoor0.dll Trojan.PSW.Win32.XYOnline.rg
C:/WINDOWS/system32/dh3oor0.dll Trojan.PSW.Win32.XYOnline.rk
C:/WINDOWS/system32/qjdoor0.dll Trojan.PSW.Win32.GameOnline.aar
C:/WINDOWS/system32/rxdoor0.dll Trojan.PSW.Win32.GameOnline.yi
C:/WINDOWS/system32/wddoor0.dll Trojan.PSW.Win32.AskTao.ei
C:/WINDOWS/system32/tldoor0.dll Trojan.PSW.Win32.GameOnline.yj
C:/WINDOWS/system32/zxdoor0.dll Trojan.PSW.Win32.WLOnline.jjp
C:/WINDOWS/system32/mydoor0.dll Trojan.PSW.Win32.RocOnline.ho
C:/WINDOWS/system32/qhdoor0.dll Trojan.PSW.Win32.GameOnline.yf
C:/WINDOWS/system32/cqdoor0.dll Trojan.PSW.Win32.Shanda.at
C:/WINDOWS/system32/fydoor0.dll Trojan.PSW.Win32.GameOnline.ye
C:/WINDOWS/system32/mhdoor1.dll Trojan.PSW.Win32.WsGame.bf
C:/WINDOWS/system32/qqdoor1.dll Trojan.PSW.Win32.GameOnline.yh
C:/WINDOWS/system32/mhdoor0.dll Trojan.PSW.Win32.XYOnline.su
C:/WINDOWS/system32/wodoor1.dll Trojan.PSW.Win32.GameOnline.aic
C:/WINDOWS/system32/55551.dll Trojan.PSW.Win32.GameOnline.aib
C:/WINDOWS/system32/csdoor1.dll Trojan.PSW.Win32.GameOnline.aif
C:/WINDOWS/system32/mydoor1.dll Trojan.PSW.Win32.RocOnline.ho
C:/WINDOWS/system32/qhdoor1.dll Trojan.PSW.Win32.QQHX.trz
C:/WINDOWS/system32/cqdoor1.dll Trojan.PSW.Win32.GameOnline.aho
C:/WINDOWS/system32/fydoor1.dll Trojan.PSW.Win32.FYOnline.dr
C:/WINDOWS/system32/qqdoor0.dll Trojan.PSW.Win32.QQHX.tsa
C:/Program Files/Common Files/fjOs0r.dll Trojan.PSW.Win32.Delf.pnw
C:/Program Files/Internet Explorer/OnlO0r.dll Trojan.PSW.Win32.GameOnline.aiy
C:/Program Files/Internet Explorer/OnlO0r.obk Trojan.PSW.Win32.Delf.pnw
c:/program files/internet explorer/onlo0r.bak>>upx_c Trojan.PSW.Win32.GameOnline.aaq
C:/System Volume Information/_restore{7F7817CF-DB12-42A3-AE12-E8184D22C999}/RP9/snapshot/MFEX-7.DAT Trojan.PSW.Win32.Delf.pnw
C:/System Volume Information/_restore{7F7817CF-DB12-42A3-AE12-E8184D22C999}/RP9/A0000733.exe Hack.Win32.Agent.cw
C:/System Volume Information/_restore{7F7817CF-DB12-42A3-AE12-E8184D22C999}/RP9/A0000845.dll Trojan.PSW.Win32.WsGame.bf
C:/System Volume Information/_restore{7F7817CF-DB12-42A3-AE12-E8184D22C999}/RP9/A0000859.DLL Trojan.PSW.Win32.GameOnline.aas
C:/System Volume Information/_restore{7F7817CF-DB12-42A3-AE12-E8184D22C999}/RP10/snapshot/MFEX-1.DAT Trojan.PSW.Win32.GameOnline.aiy
D:/System Volume Information/_restore{7F7817CF-DB12-42A3-AE12-E8184D22C999}/RP142/A0023547.exe Win32.Loader.c
…(略)…
===/
到 http://purpleendurer.ys168.com 下載 FileInfo 和 bat_do。
選取部分檔案用 FileInfo 提取檔案資訊,用 bat_do 打包備份。
把C盤上的病毒檔案,及 c、d、e、f盤上的xxyxyjk.exe、autorun.inf、Windows.scr加入bat_do,全選,延時刪除。
卸載 雅虎助手、中文上網、baidu。
用 WinRAR 刪除 Windows臨時檔案夾,IE臨時檔案夾,d:/windows/prefetch 中可以刪除的檔案。
重啟電腦……
到 http://www.ikaka.com/2008/down.asp?t=ravz&action=rising 下載可免費使用 3 個月的瑞星2008安裝程式進行安裝,安裝完成後重啟動電腦。
運行瑞星卡卡上網安全助手,先在[準系統]—>[查殺惡意及流氓軟體],掃描並清理流氓軟體
然後在[進階功能]—>[外掛程式管理及卸載]裡把 O2、O24 項卸載掉。
然後在[進階功能]—>[系統啟用項管理]裡,在左邊點擊[登入項],在右邊找到 O4 項對應的項目,右擊,從彈出的菜單裡選擇刪除。
接著在[進階功能]—>[系統啟用項管理]裡,在左邊點擊[服務項]和[驅動],在右邊找到 O23 項對應的項目,右擊,從彈出的菜單裡選擇刪除;在左邊點擊[應用程式劫持項],在右邊找到 O26 項對應的項目,右擊,從彈出的菜單裡選擇刪除。
升級瑞星殺毒軟體,然後全面查殺病毒……
部分病毒檔案資訊:
檔案說明符 : C:/WINDOWS/system32/qqdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15872 位元組 15.512 KB
MD5 : a52a1c57fd74dfdec33780e5f57992c2
SHA1: 3DC1E96C6E843225EF846BEA93836D66B18BECCB
CRC32: 0a773ff2
瑞星報為 Trojan.PSW.Win32.QQHX.tsa
檔案說明符 : C:/WINDOWS/system32/fydoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 13312 位元組 13.0 KB
MD5 : 85d28bb576c7527d4cc64857c87708f6
SHA1: 52B5B103128FA7E6C5359867513286F51216E798
CRC32: 7582c4ea
瑞星報為 Trojan.PSW.Win32.FYOnline.dr
檔案說明符 : C:/WINDOWS/system32/cqdoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 16896 位元組 16.512 KB
MD5 : a03292cba461a8f161ce67cee9fd2f99
SHA1: FDF717CCD25127424F8AF5D29273038925B224D6
CRC32: 7835f372
瑞星報為 Trojan.PSW.Win32.GameOnline.aho
檔案說明符 : C:/WINDOWS/system32/qhdoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15872 位元組 15.512 KB
MD5 : 6b84c2f1df9e0443b6e72ca00f2faafb
SHA1: 39FE2F2583A721C71B05FE6EBC4E488FE5075A37
CRC32: e78255f8
瑞星報為 Trojan.PSW.Win32.GameOnline.yf
檔案說明符 : C:/WINDOWS/system32/mydoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 17920 位元組 17.512 KB
MD5 : 8b8e7e2dc9796960e0e6b0147eae6077
SHA1: A9F8FF6BFFCB90514822178AC0797A0D2A951C70
CRC32: 74aa3654
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hlz,瑞星報為 Trojan.PSW.Win32.RocOnline.ho
檔案說明符 : C:/WINDOWS/system32/zxdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 22528 位元組 22.0 KB
MD5 : 58b64638cd5238a242aa3da38ae0a7e8
SHA1: 2374B07E4B46240B0CEA26AFACCAB4C5801E0FB5
CRC32: 2a703824
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hjl,瑞星報為 Trojan.PSW.Win32.WLOnline.jjp
檔案說明符 : C:/WINDOWS/system32/tldoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15360 位元組 15.0 KB
MD5 : 50afb80b719fdfc6bee2cf23ad63c3b7
SHA1: 44272D82F7F89B7FEABD03C4D750ED718F9FC88C
CRC32: c7f0c205
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hji,瑞星報為 Trojan.PSW.Win32.GameOnline.yj
檔案說明符 : C:/WINDOWS/system32/wddoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15872 位元組 15.512 KB
MD5 : 87433d5e46382436848a23b45ae7fd3e
SHA1: 5DCE6AA47E0154C250459A8F6786FEB16B96D722
CRC32: ca94ccf7
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hjj,瑞星報為 Trojan.PSW.Win32.AskTao.ei
檔案說明符 : C:/WINDOWS/system32/rxdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15872 位元組 15.512 KB
MD5 : 872c9ed2aa3857c9397e3e884d8263c7
SHA1: 78A876319F5C378E3BAC4E2C0420FC28CAEBD3C0
CRC32: 0ff2119b
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hjh,瑞星報為 Trojan.PSW.Win32.GameOnline.yi
檔案說明符 : C:/WINDOWS/system32/qjdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 23040 位元組 22.512 KB
MD5 : 49360a574d8918f4cd7a817b04576b67
SHA1: 5B7611E7398D7BE67C3B8E6EFFEF4F3EC69C544F
CRC32: 9daa7156
Kaspersky 報為 Trojan-Downloader.Win32.Agent.fbc,瑞星報為 Trojan.PSW.Win32.GameOnline.aar
檔案說明符 : C:/WINDOWS/system32/dh3oor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15360 位元組 15.0 KB
MD5 : 4d28e010062eae4b0664a0878cc422ea
SHA1: C55735F127280CC583453E56268E13B427146C78
CRC32: 7d567d6e
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hjc,瑞星報為 Trojan.PSW.Win32.XYOnline.rk
檔案說明符 : C:/WINDOWS/system32/dadoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 14336 位元組 14.0 KB
MD5 : 44aa674d04dc698e55dfeceda2aa8215
SHA1: D953758EB8CBCE787E794E61378D45F06B1C630A
CRC32: 5706f79e
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hjb,瑞星報為 Trojan.PSW.Win32.XYOnline.rg
檔案說明符 : C:/WINDOWS/system32/wgdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 24576 位元組 24.0 KB
MD5 : 95336d0e0b8d18dad8ba8870ee2915f1
SHA1: FDA6A85CD29DB5F953D1D38CDE709C04ED004063
CRC32: 078656f1
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hnc,瑞星報為 Trojan.PSW.Win32.WLOnline.jjq
檔案說明符 : C:/WINDOWS/system32/wldoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 22528 位元組 22.0 KB
MD5 : 12920baeff5c8056654f80cf31e78cb8
SHA1: 253FC0B6CDA8B09AF7E161EE649AF0E97E797D9A
CRC32: 7b06a554
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hmc,瑞星報為 Trojan.PSW.Win32.RocOnline.cn
檔案說明符 : C:/WINDOWS/system32/csdoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 14848 位元組 14.512 KB
MD5 : c90f614bf473a9775619aa1f15fcf844
SHA1: B366388CAF6915066287FF23AFD3D2BC3D5A3F85
CRC32: 858e0c85
檔案說明符 : C:/WINDOWS/system32/55551.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15872 位元組 15.512 KB
MD5 : 006331654f665f76cf270784254ef563
SHA1: 2D1BD53358D3789210F09B61BC3F8FAA142F14C4
CRC32: c8284a78
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.ifi,瑞星報為 Trojan.PSW.Win32.GameOnline.aib
檔案說明符 : C:/WINDOWS/system32/wodoor1.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 26112 位元組 25.512 KB
MD5 : 25380c9ba9b5dbd974d0ee51bebae3f4
SHA1: 3CE1E236071C86A8FD978ADF494A0952E2825453
CRC32: 9cfbd8d9
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.ijr,瑞星報為 Trojan.PSW.Win32.GameOnline.yl
檔案說明符 : C:/WINDOWS/system32/mhdoor0.dll
屬性 : A---
擷取檔案版本資訊大小失敗!
建立時間 : 2004-8-4 0:52:32
修改時間 : 2004-8-4 0:52:32
訪問時間 : 2007-11-21 0:0:0
大小 : 15360 位元組 15.0 KB
MD5 : d36d63624d45f67ea88ef61c87b2b7f0
SHA1: B8019FF4CCD780883A48E43832A7E18ABD9E7C2B
CRC32: 35976595
瑞星報為 Trojan.PSW.Win32.XYOnline.su
檔案說明符 : C:/Program Files/Internet Explorer/OnlO0r.dll
屬性 : ASH-
語言 : 中文(中國)
檔案版本 : 1. 0. 0. 1
說明 : Microsoft Corporation Windows DLL
著作權 : Copyright (C) 2001.01
備忘 :
產品版本 : 6.00.2900.3028
產品名稱 : Microsoft Windows Operating System
公司名稱 : Microsoft Corporation
合法商標 :
內部名稱 : Windows.dll
源檔案名稱 : Windows.dll
建立時間 : 2007-11-12 11:33:46
修改時間 : 2007-11-20 15:23:24
訪問時間 : 2007-11-21 0:0:0
大小 : 29231 位元組 28.559 KB
MD5 : 666a8d0c0a08e9fd26308907513867d0
SHA1: F44BC0113567D4B8C6DCBF25FA6A91BBB4E6DD18
CRC32: 53b65085
Kaspersky 報為 Trojan-PSW.Win32.OnLineGames.hlz,瑞星報為 Trojan.PSW.Win32.GameOnline.aiy
檔案說明符 : F:/Windows.scr
屬性 : ASH-
擷取檔案版本資訊大小失敗!
建立時間 : 2007-11-12 11:34:4
修改時間 : 2007-11-12 11:33:44
訪問時間 : 2007-11-21 0:0:0
大小 : 29743 位元組 29.47 KB
MD5 : 663fee4d50f624ac0b7c386e72ea84d1
SHA1: 6F94FA55441F06D421010B5EE07BE747A922F779
CRC32: 4de8d2e2
Kaspersky 報為 Trojan-PSW.Win32.Delf.ahe,瑞星報為 Trojan.PSW.Win32.GameOnline.aaq》upx_c
檔案說明符 : D:/xxyxyjk.exe
屬性 : ASH-
擷取檔案版本資訊大小失敗!
建立時間 : 2007-11-6 9:6:38
修改時間 : 2007-11-9 16:13:24
訪問時間 : 2007-11-21 0:0:0
大小 : 32097 位元組 31.353 KB
MD5 : 4e0dfa218e7624ef01822e2b6b8f480c
SHA1: 881D2840F41E7C5B22DD914B479F35F636B947D6
CRC32: 2fca6eb1
Kaspersky 報為 Virus.Win32.Downloader.q,瑞星報為 Win32.Loader.c
檔案說明符 : C:/Program Files/Common Files/fjOs0r.dll
屬性 : ASH-
語言 : 中文(中國)
檔案版本 : 1. 0. 0. 1
說明 : Microsoft Corporation Windows DLL
著作權 : Copyright (C) 2001.01
備忘 :
產品版本 : 6.00.2900.3028
產品名稱 : Microsoft Windows Operating System
公司名稱 : Microsoft Corporation
合法商標 :
內部名稱 : Windows.dll
源檔案名稱 : Windows.dll
建立時間 : 2007-11-12 11:33:46
修改時間 : 2007-11-12 11:33:48
訪問時間 : 2007-11-21 0:0:0
大小 : 35887 位元組 35.47 KB
MD5 : f3769529b003f02af4d3217667a72eab
SHA1: 759EA0ECEBEB7874D85159909831EAF06EC73225
CRC32: ada819f9
Kaspersky 報為 Trojan-PSW.Win32.Delf.ahg,瑞星報為 Trojan.PSW.Win32.Delf.pnw
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
