遭遇Trojan.PSW.ZhengTu,Trojan.PSW.OnlineGames,Trojan.PSW.ZhuXian.b等
endurer 原创
2007-06-25 第1版
今天上午,一位同事说他们科室的两台电脑开机时金山毒霸、瑞星程序出错,运行很慢,让偶帮助检查。
用 pe_xscan 扫描 log 并分析,发现如下可疑项:
/===
pe_xscan 07-06-04 by Purple Endurer
2007-6-25 10:17:31
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process] * 0
C:/DOCUME~1/2298160/LOCALS~1/Temp/daso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wmso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wgso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/mhso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/wlso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso0.dll | 2007-6-25 8:52:48
C:/WINDOWS/Explorer.EXE * 532 | 2004-8-7 8:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Windows Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | explorer | EXPLORER.EXE
C:/DOCUME~1/2298160/LOCALS~1/Temp/mhso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/wlso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wgso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wmso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/daso0.dll | 2007-6-25 8:52:49
C:/Program Files/Common Files/Relive.dll | 2007-6-22 10:58:12 | Microsoft(R) Windows (R) TM | 5.00.1.0.2 | Microsoft Corporation Windows DLL | Copyright (C) 2001.01 | 1. 0. 0. 1 | Microsoft Corporation| ? | Windows.dll | Windows.dll
C:/Program Files/Internet Explorer/iexplore.exe * 2088 | 2004-8-7 8:0:0 | Microsoft(R) Windows(R) Operating System | 6.00.2900.2180 | Internet Explorer | (C) Microsoft Corporation. All rights reserved. | 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) | Microsoft Corporation| ? | iexplore | IEXPLORE.EXE
C:/DOCUME~1/2298160/LOCALS~1/Temp/daso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wmso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/wgso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/mhso0.dll | 2007-6-25 8:52:48
C:/DOCUME~1/2298160/LOCALS~1/Temp/wlso0.dll | 2007-6-25 8:52:49
C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso0.dll | 2007-6-25 8:52:48
O2 - BHO - {D7515C61-A66C-4319-A0E0-D416CB8059E3} - C:/Program Files/Common Files/Relive.dll
O2 - BHO - {E3616E66-C13B-2628-2CDF-EDABCFA235E1} - C:/Program Files/Common Files/Relive.dll
O4 - HKLM/../Run: [wosa] C:/DOCUME~1/2298160/LOCALS~1/Temp/woso.exe
O4 - HKLM/../Run: [ztsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso.exe
O4 - HKLM/../Run: [mhsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/mhso.exe
O4 - HKLM/../Run: [fysa] C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso.exe
O4 - HKLM/../Run: [jtsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso.exe
O4 - HKLM/../Run: [wlsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/wlso.exe
O4 - HKLM/../Run: [wgsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/wgso.exe
O4 - HKLM/../Run: [wmsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/wmso.exe
O4 - HKLM/../Run: [qjsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso.exe
O4 - HKLM/../Run: [rxsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso.exe
O4 - HKLM/../Run: [wdsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso.exe
O4 - HKLM/../Run: [tlsa] C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso.exe
O4 - HKLM/../Run: [dasa] C:/DOCUME~1/2298160/LOCALS~1/Temp/daso.exe
O23 - 服务: ScbkEx (StarCenter Backup Volume Filter Driver) - scdriver/ScbkEx.sys(引导)
O23 - 服务: ScCchMgr (StarCenter Cache Manager File System Filter Driver) - scdriver/ScCchMgr.sys(引导)
O23 - 服务: SSCFLT (SSCFLT) - scdriver/SSCFLT.SYS | Windows (R) 2000 DDK driver | 5.1.2600.1106 | File System Filter Driver | | 5.1.2600.1106 built by: WinDDK | Windows (R) 2000 DDK provider| ? | kfilter.sys | kfilter.sys(引导)
O23 - 服务: SSCFS (SSCFS) - scdriver/sscfs.sys(引导)
O23 - 服务: SSFltPT () - scdriver/ssfltpt.sys(引导)
O24 - ShlExecHook: [] - {0EA12C16-CDEF-6AC1-236E-CD3FE82F5213} = C:/Program Files/Internet Explorer/msvcrt.dll
O24 - ShlExecHook: [] - {05AD2E16-C6EF-6AC1-136A-CE3FD8EF5613} = C:/Program Files/Internet Explorer/msvcrt.dll
O25 - InsCom: {11716107-A10D-11cf-64CD-11115FE1CF41} = C:/WINDOWS/system32/nwizzhuxians.exe
===/
另一台电脑中扫描的log与些相似。估计是使用了带毒的U盘引起的。
到http://purpleendurer.ys168.com 下载 FileInfo提取病毒文件信息,下载 bat_do 压缩备份病毒文件。
到 http://endurer.ys168.com 下载 aide4rav/瑞星杀毒助手,使用瑞星在线免费扫描,结果如下:
/---
2007-6-25 10:51:57 瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名 病毒名
C:/Documents and Settings/2298160/Local Settings/Temp/daso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/daso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/daso1.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/fyso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/fyso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/fyso1.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/jtso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/jtso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/jtso1.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/mhso.exe>>mian007 Trojan.PSW.WsGame.apl
C:/Documents and Settings/2298160/Local Settings/Temp/mhso0.dll>>mian007 Trojan.PSW.XYOnline.qm
C:/Documents and Settings/2298160/Local Settings/Temp/mhso1.dll>>mian007 Trojan.PSW.XYOnline.qm
C:/Documents and Settings/2298160/Local Settings/Temp/qjso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/qjso0.dll>>mian007 Trojan.PSW.SunOnline.af
C:/Documents and Settings/2298160/Local Settings/Temp/qjso1.dll>>mian007 Trojan.PSW.SunOnline.af
C:/Documents and Settings/2298160/Local Settings/Temp/rxso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/rxso0.dll>>mian007 Trojan.PSW.OnlineGames.byt
C:/Documents and Settings/2298160/Local Settings/Temp/rxso1.dll>>mian007 Trojan.PSW.OnlineGames.byt
C:/Documents and Settings/2298160/Local Settings/Temp/tlso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/tlso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/tlso1.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/wdso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/wdso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/wdso1.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/wgso.exe Trojan.PSW.Win32.WorldOnline.f
C:/Documents and Settings/2298160/Local Settings/Temp/wgso0.dll>>mian007 Trojan.PSW.Win32.WorldOnline.f
C:/Documents and Settings/2298160/Local Settings/Temp/wgso1.dll>>mian007 Trojan.PSW.Win32.WorldOnline.f
C:/Documents and Settings/2298160/Local Settings/Temp/wlso.exe>>mian007 Trojan.PSW.ZhengTu.jzd
C:/Documents and Settings/2298160/Local Settings/Temp/wlso0.dll>>mian007 Trojan.PSW.WorldOnline.ht
C:/Documents and Settings/2298160/Local Settings/Temp/wlso1.dll>>mian007 Trojan.PSW.WorldOnline.ht
C:/Documents and Settings/2298160/Local Settings/Temp/wmso.exe>>mian007 Trojan.PSW.Win32.SunOnline.b
C:/Documents and Settings/2298160/Local Settings/Temp/wmso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/wmso1.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/woso0.dll>>mian007 Trojan.PSW.OnlineGames.byp
C:/Documents and Settings/2298160/Local Settings/Temp/ztso.exe>>mian007 Trojan.PSW.ZhengTu.jzd
C:/Documents and Settings/2298160/Local Settings/Temp/ztso0.dll>>mian007 Trojan.PSW.OnlineGames.cdw
C:/Documents and Settings/2298160/Local Settings/Temp/ztso1.dll>>mian007 Trojan.PSW.OnlineGames.cdw
C:/WINDOWS/system32/nwizzhuxians.dll>>mian007 Trojan.PSW.ZhuXian.b(Kapsersky 报为 Trojan-PSW.Win32.OnLineGames.fq)
C:/WINDOWS/system32/nwizzhuxians.exe>>mian007 Trojan.PSW.ZhuXian.b(Kaspersky报为 Trojan-PSW.Win32.OnLineGames.fq)
C:/Program Files/Common Files/Relive.dll>>upx_a Trojan.Win32.Delf.ady(Kapsersky 报为 Virus.Win32.AutoRun.cn)
还有C:/Program Files/Internet Explorer下的msvcrt.dll、romdrivers.dll等也被瑞星查出来了,不过扫描结果没有保存下来。
---/
瑞星既然能全部查杀,居然也中标,只能怀疑同事电脑中的瑞星没有及时升级~
可惜瑞星在线免费扫描没有检测和清除内存中的病毒,这样在用瑞星杀毒助手删除病毒文件时会提示woso0.dll等DLL文件无法删除,这里除了可以用瑞星杀毒助手的下次启动时删除功能来解决外,也可以使用FreeDLL,IceSword来卸载内存中的病毒模块,再删除。
这里我用的是FreeDLL,到 http://purpleendurer.ys168.com 下载 FreeDLL 0.0.0001-bata2,解压运行,居然失去响应。
由于 FreeDLL 0.0.0001-bata2 会尝试以SYSTEM用户帐户来运行,这可能会被某些安全防护软件阻止。
为FreeDLL指定-nosystem 参数,这样FreeDLL 0.0.0001-bata2 就会直接以当前用户帐户来运行了。
然后把C:/DOCUME~1/2298160/LOCALS~1/Temp/daso0.dll等逐一卸载掉,再用瑞星杀毒助手删除病毒文件。
下载安装瑞星卡卡安全助手,卸载 O2、O24、O25。
到 http://endurer.ys168.com 下载 HijackThis修复 O24项。
一些病毒文件的信息:
文件说明符 : C:/Program Files/Internet Explorer/msvcrt.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2001.01
备注 :
产品版本 : 5.00.1.0.2
产品名称 : Microsoft(R) Windows (R) TM
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : Windows.dll
源文件名 : Windows.dll
创建时间 : 2007-6-18 10:32:41
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 12338 字节 12.50 KB
MD5 : 32fcda85c0359436f01d646a439b2985
C:/Program Files/Common Files/Relive.dll 与 C:/Program Files/Internet Explorer/msvcrt.dll 相同。
文件说明符 : C:/Program Files/Internet Explorer/msvcrt.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-6-18 10:32:41
修改时间 : 2007-6-20 15:56:40
访问时间 : 2007-6-25 0:0:0
大小 : 21042 字节 20.562 KB
MD5 : 79701c3d2ba063269aa6bef1c4ac3cfd
文件说明符 : C:/Program Files/Internet Explorer/romdrivers.dll
属性 : ASH-
语言 : 中文(中国)
文件版本 : 1. 0. 0. 1
说明 : Microsoft Corporation Windows DLL
版权 : Copyright (C) 2006.6
备注 :
产品版本 : 5.00.1.0.1
产品名称 : Microsoft(R) Windows (R) System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : System
源文件名 : System.dll
创建时间 : 2007-5-30 17:28:46
修改时间 : 2007-6-18 10:31:36
访问时间 : 2007-6-25 0:0:0
大小 : 14898 字节 14.562 KB
MD5 : 5e12658d4dec4c3f9df782a23d179c5d
文件说明符 : C:/Program Files/Internet Explorer/romdrivers.bak
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:28:46
修改时间 : 2007-6-13 9:15:56
访问时间 : 2007-6-25 0:0:0
大小 : 22066 字节 21.562 KB
MD5 : 93ddd394c7d36ccf069141ad84585f57
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:30:22
修改时间 : 2007-6-20 15:56:58
访问时间 : 2007-6-25 0:0:0
大小 : 47012 字节 45.932 KB
MD5 : ab509638459d1aa7fa14904400d26e97
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-18 15:24:28
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 24260 字节 23.708 KB
MD5 : 9c10100eda45a8ec6a3691ca8a770575
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/fyso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:55:49
修改时间 : 2007-6-20 15:57:0
访问时间 : 2007-6-25 0:0:0
大小 : 24260 字节 23.708 KB
MD5 : 9c10100eda45a8ec6a3691ca8a770575
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:30:35
修改时间 : 2007-6-20 15:57:4
访问时间 : 2007-6-25 0:0:0
大小 : 46545 字节 45.465 KB
MD5 : 2eec6964c33beed980862bf34760a0a1
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-11 11:17:19
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 24444 字节 23.892 KB
MD5 : 1369255631ec0f2bc212da7c2536ad67
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/jtso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:55:53
修改时间 : 2007-6-20 15:57:4
访问时间 : 2007-6-25 0:0:0
大小 : 24444 字节 23.892 KB
MD5 : 1369255631ec0f2bc212da7c2536ad67
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:31:14
修改时间 : 2007-6-20 15:57:28
访问时间 : 2007-6-25 0:0:0
大小 : 46031 字节 44.975 KB
MD5 : d61cb3d4f8dde6679ca3d1909eb6eb21
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-11 11:17:19
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 25484 字节 24.908 KB
MD5 : d4a34abde803a50d625a145f498afcd8
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/qjso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:56:8
修改时间 : 2007-6-20 15:57:28
访问时间 : 2007-6-25 0:0:0
大小 : 25484 字节 24.908 KB
MD5 : d4a34abde803a50d625a145f498afcd8
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:31:22
修改时间 : 2007-6-20 15:57:30
访问时间 : 2007-6-25 0:0:0
大小 : 47222 字节 46.118 KB
MD5 : 706516df1ce045af0e8e9da0f8b65783
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-13 15:44:7
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 25108 字节 24.532 KB
MD5 : 108f5ab522eb2797737796e246ccc037
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/rxso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:56:12
修改时间 : 2007-6-20 15:57:30
访问时间 : 2007-6-25 0:0:0
大小 : 25108 字节 24.532 KB
MD5 : 108f5ab522eb2797737796e246ccc037
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:31:31
修改时间 : 2007-6-20 15:57:46
访问时间 : 2007-6-25 0:0:0
大小 : 47020 字节 45.940 KB
MD5 : 12d46b18469e3eafb9e0ad732bce41d7
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-11 11:17:19
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 24860 字节 24.284 KB
MD5 : e03a878c04759284b2f86ea8cabb0698
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/tlso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:56:21
修改时间 : 2007-6-20 15:57:46
访问时间 : 2007-6-25 0:0:0
大小 : 24860 字节 24.284 KB
MD5 : e03a878c04759284b2f86ea8cabb0698
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:31:25
修改时间 : 2007-6-20 15:57:36
访问时间 : 2007-6-25 0:0:0
大小 : 48025 字节 46.921 KB
MD5 : 97199fbcccd0ac855bebdcb10f7cbdfd
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-18 15:24:29
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 25692 字节 25.92 KB
MD5 : 2fd8fad946553ba6a7105246bf8b4551
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/wdso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:56:16
修改时间 : 2007-6-20 15:57:38
访问时间 : 2007-6-25 0:0:0
大小 : 25692 字节 25.92 KB
MD5 : 2fd8fad946553ba6a7105246bf8b4551
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-5-30 17:30:7
修改时间 : 2007-6-13 9:16:26
访问时间 : 2007-6-25 0:0:0
大小 : 48418 字节 47.290 KB
MD5 : 0565f9776f367ef250f4542be4329cb0
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso0.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-13 15:44:6
修改时间 : 2007-6-25 8:21:14
访问时间 : 2007-6-25 0:0:0
大小 : 25464 字节 24.888 KB
MD5 : 9b5e9e5c8eb17b97e355826bea5eff55
文件说明符 : C:/DOCUME~1/2298160/LOCALS~1/Temp/ztso1.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-1 8:55:42
修改时间 : 2007-6-13 9:16:26
访问时间 : 2007-6-25 0:0:0
大小 : 25464 字节 24.888 KB
MD5 : 9b5e9e5c8eb17b97e355826bea5eff55
文件说明符 : C:/WINDOWS/system32/nwizzhuxians.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-5 8:38:45
修改时间 : 2007-6-20 15:57:56
访问时间 : 2007-6-25 0:0:0
大小 : 46895 字节 45.815 KB
MD5 : dda372cd5e1c47b8cb4fe18d8e76af79
文件说明符 : C:/WINDOWS/system32/nwizzhuxians.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-6-5 8:38:46
修改时间 : 2007-6-20 15:57:58
访问时间 : 2007-6-25 0:0:0
大小 : 25144 字节 24.568 KB
MD5 : aaf846bc52a6bb3b6c57c7625d410548
遭遇Trojan.PSW.ZhengTu,Trojan.PSW.OnlineGames,Trojan.PSW.ZhuXian.b等相关推荐
- 遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等
遭遇Worm.Win32.Viking,Worm.Win32f.ysv,Trojan.PSW.Win32.OnlineGames等 endurer 原创 2007-07-30 第1版 刚才," ...
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2
遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2 endurer 原创 2007-07-24 第1版 很奇怪,今天中午在一位网友的电 ...
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1
遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1 endurer 原创 2007-07-23 第1版 一位网友说他的电脑昨晚使用时出 ...
- 遭遇木马Trojan.PSW.ZhengTu.dm、Trojan.PSW.LMir.atb
endurer 原创 2006-08-10 第1版 刚才一位网友的电脑开机时,瑞星开机扫描发现病毒:Trojan.PSW.ZhengTu.dm.Trojan.PSW.LMir.atb,接着瑞星监控小伞 ...
- 遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1
遭遇 kupqytu.dll/Trojan.Win32.Undef.fzq,kmwprnp.dll/Trojan.Win32.Agent.lmo 等1 endurer 原创 2008-06-03 第1 ...
- 检查中ARP病毒的电脑,一堆网游盗号木马Trojan PSW RocOnline变种等
endurer 原创 2007-05-22 第1版 今天终于有机会检查那台疑是中了ARP病毒的电脑 ARP病毒"吃里巴外"? http://endurer.bokee.com/6 ...
- 遭遇Trojan DL Multi wfg sss exe SCVHOST EXE autorun inf 等
分享一下我老师大神的人工智能教程.零基础!通俗易懂!风趣幽默!还带黄段子!希望你也加入到我们人工智能的队伍中来!https://blog.csdn.net/jiangjunshow endurer 原 ...
- 遭遇Trojan.DL.Multi.wfg(sss.exe、SCVHOST.EXE、autorun.inf)等
endurer 原创 2006-12-23 第2版 补充修订 2006-12-22 第1版 昨天下午,一位朋友的电脑接入U盘后弹出错误信息框,提示找不到A盘什么的,关了又调出来.让我帮忙看看. 用Wi ...
- Trojan客户端使用教程
Trojan客户端使用教程 此教程使用的是 Centos7 x86_64系统 1.开启Trojan客户端代理服务 使用此命令下载Trojan客户端 官方版本(GitHub): cd /usr/src ...
- Trojan协议流量分析
原理解析 如图所示,Trojan工作在443端口,处理来自外界的HTTPS请求,如果是合法的Trojan请求,那么为该请求提供服务,否则就将该流量转发给web.服务器Nginx,由Nginx为其提供服 ...
最新文章
- 并发编程实战:取消和关闭
- ksql中定义的本体在dataModel中不存在
- 数组输出黑科技----fwrite()
- IROS 2017上,这些厂商将会给我们展示什么样的黑科技?
- linux命令行的操作符,如何在Linux命令行中进行基本的数学运算
- php完美导出word,PHP使用phpword生成word文档
- 地图上如何量方位角_楼承板厂家揭秘:压型钢板采购的7个坑之第2个坑_压型钢板如何在镀锌量上偷工减料?...
- ValueError: Argument must be a dense tensor:... got shape [6, 60, 160, 3], but wanted [6].
- tensorflow 安装_tensorflow安装后Failed to get convolution algorithm问题
- verdi中波形怎么看间距_热血传奇:怎么看传奇中的“首充”?
- react-tv-focusable
- 医院计算机五大应用系统,医疗系统计算机应用的现状与发展
- CCNA(三)-路由器
- sim868 c++二次开发基本完成
- Redis之SDS数据结构
- 信号处理学习笔记(一)截止频率Cutoff Frequency
- 伪标签Pseudo Label
- 使用RabbitMQ出现Plugin configuration unchanged.问题
- 旷厂练习生 Vol.16 | 两次进入研究院里的“研究院”实习是种什么体验?
- 个人管理:“唐僧”之五项修炼