遭遇Trojan.PSW.Lmir.lkh、Trojan.PSW.WoWar.qd、Trojan.Agent.kh0等
2006-12-29 21:37
543 查看
endurer 原创
2006-12-29 第1版
一位网友的电脑出现问题:打开IE时出错关闭,让偶帮忙检修。
通过QQ远程协助进行。
双击桌面上的IE图标,弹出5460.dll引起错误的信息框。
用 pe_xscan 扫描 log,发现如下可疑项:
/===========
pe_xscan by Purple Endurer
2006-12-29 12:35:22
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE*1676
C:/WINDOWS/system32/windhcp.ocx*2006-12-20 15:36:50
C:/windows/system32/winsmd.exe*3258*2006-12-25 9:47:46
O2 - BHO XBTP00162 Class - {EBA8FC1C-C7BB-4306-B019-99AA73D1021C} - C:/WINDOWS/DOWNLO~1/5460.dll
*O3 - IE工具栏: - {6AE02E1C-8859-4F57-9097-5A55A56A4CAF} - C:/WINDOWS/Downloaded Program Files/5460.dll
O4 - HKLM/../Run: [SOUNDM] winsmd.exe
O16 - DPF: {6AE02E1C-8859-4F57-9097-5A55A56A4CAF} (5460 Toolbar) - hxxp://images.5460.net/toolbar/webinstall/5460.cab
O23 - 服务: Npf (NetGroup Packet Filter Driver) - system32/drivers/npf.sys(自动启动)
===========/
挺久没上5460.net了,想不到弄了个5460.dll作广告。
到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。
用ProcView 终止进程 C:/windows/system32/winsmd.exe。
到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。
用 FileInfo 提取下列文件信息,bat_do把文件打包备份后删除,删除不掉的,用下次启动时执行来解决。
文件说明符 : c:/WINDOWS/DOWNLO~1/5460.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 1, 0, 0, 4
说明 : IE Toolbar
版权 : Copyright 2001-2003. All rights reserved.
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : IE Toolbar
公司名称 : IE Toolbar
合法商标 :
内部名称 : IE Toolbar
源文件名 : toolbar.dll
创建时间 : 2006-12-27 13:48:43
修改时间 : 2006-12-24 13:50:18
访问时间 : 2006-12-29 12:50:42
大小 : 544768 字节 532.0 KB
MD5 : 9effd673d996bb65c4ff611a113784c8
Kaspersky 报为 not-a-virus:AdWare.Win32.MyTool.f,瑞星报为 Trojan.Agent.yjy。
文件说明符 :c:/windows/system32/winsmd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-29 13:52:52
修改时间 : 2006-12-25 9:47:46
访问时间 : 2006-12-29 12:53:3
大小 : 123697 字节 120.817 KB
MD5 : 285c29650551fee9c6cee2c213493edf
Kaspersky 报为 Trojan-PSW.Win32.Nilage.ann,瑞星报为 Trojan.PSW.Lmir.lkh。
文件说明符 : c:/WINDOWS/system32/drivers/npf.sys
属性 : -SH-
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : npf
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap Netgroup Packet Filter Driver
公司名称 : CACE Technologies
合法商标 :
内部名称 : NPF + TME
源文件名 : npf.sys
创建时间 : 2006-12-28 13:56:41
修改时间 : 2006-12-28 11:16:46
访问时间 : 2006-12-29 12:57:2
大小 : 39920 字节 38.1008 KB
MD5 : c153a16fc677f8cc2965227d316374e0
瑞星报为 Trojan.PSW.WoWar.qd。
文件说明符 : D:/WINDOWS/system32/windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-24 13:59:45
修改时间 : 2006-12-20 15:36:50
访问时间 : 2006-12-29 12:59:58
大小 : 41472 字节 40.512 KB
MD5 : d98249fd3ab41817f7bac87d97912b63
瑞星报为 Trojan.Agent.kh0。
用 HijackThis 修复上列可疑项。
到注册表删除服务 Npf (NetGroup Packet Filter Driver) 的项目。
2006-12-29 第1版
一位网友的电脑出现问题:打开IE时出错关闭,让偶帮忙检修。
通过QQ远程协助进行。
双击桌面上的IE图标,弹出5460.dll引起错误的信息框。
用 pe_xscan 扫描 log,发现如下可疑项:
/===========
pe_xscan by Purple Endurer
2006-12-29 12:35:22
Windows XP Service Pack 2(5.1.2600)
管理员用户组
C:/WINDOWS/Explorer.EXE*1676
C:/WINDOWS/system32/windhcp.ocx*2006-12-20 15:36:50
C:/windows/system32/winsmd.exe*3258*2006-12-25 9:47:46
O2 - BHO XBTP00162 Class - {EBA8FC1C-C7BB-4306-B019-99AA73D1021C} - C:/WINDOWS/DOWNLO~1/5460.dll
*O3 - IE工具栏: - {6AE02E1C-8859-4F57-9097-5A55A56A4CAF} - C:/WINDOWS/Downloaded Program Files/5460.dll
O4 - HKLM/../Run: [SOUNDM] winsmd.exe
O16 - DPF: {6AE02E1C-8859-4F57-9097-5A55A56A4CAF} (5460 Toolbar) - hxxp://images.5460.net/toolbar/webinstall/5460.cab
O23 - 服务: Npf (NetGroup Packet Filter Driver) - system32/drivers/npf.sys(自动启动)
===========/
挺久没上5460.net了,想不到弄了个5460.dll作广告。
到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。
用ProcView 终止进程 C:/windows/system32/winsmd.exe。
到 http://purpleendurer.ys168.com 下载 bat_do 和 FileInfo。
用 FileInfo 提取下列文件信息,bat_do把文件打包备份后删除,删除不掉的,用下次启动时执行来解决。
文件说明符 : c:/WINDOWS/DOWNLO~1/5460.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 1, 0, 0, 4
说明 : IE Toolbar
版权 : Copyright 2001-2003. All rights reserved.
备注 :
产品版本 : 1, 0, 0, 1
产品名称 : IE Toolbar
公司名称 : IE Toolbar
合法商标 :
内部名称 : IE Toolbar
源文件名 : toolbar.dll
创建时间 : 2006-12-27 13:48:43
修改时间 : 2006-12-24 13:50:18
访问时间 : 2006-12-29 12:50:42
大小 : 544768 字节 532.0 KB
MD5 : 9effd673d996bb65c4ff611a113784c8
Kaspersky 报为 not-a-virus:AdWare.Win32.MyTool.f,瑞星报为 Trojan.Agent.yjy。
文件说明符 :c:/windows/system32/winsmd.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-29 13:52:52
修改时间 : 2006-12-25 9:47:46
访问时间 : 2006-12-29 12:53:3
大小 : 123697 字节 120.817 KB
MD5 : 285c29650551fee9c6cee2c213493edf
Kaspersky 报为 Trojan-PSW.Win32.Nilage.ann,瑞星报为 Trojan.PSW.Lmir.lkh。
文件说明符 : c:/WINDOWS/system32/drivers/npf.sys
属性 : -SH-
语言 : 语言中性
文件版本 : 3, 1, 0, 27
说明 : npf
版权 : Copyright ? 2005 CACE Technologies. Copyright ? 2003-2005 NetGroup, Politecnico di Torino.
备注 :
产品版本 : 3, 1, 0, 27
产品名称 : WinPcap Netgroup Packet Filter Driver
公司名称 : CACE Technologies
合法商标 :
内部名称 : NPF + TME
源文件名 : npf.sys
创建时间 : 2006-12-28 13:56:41
修改时间 : 2006-12-28 11:16:46
访问时间 : 2006-12-29 12:57:2
大小 : 39920 字节 38.1008 KB
MD5 : c153a16fc677f8cc2965227d316374e0
瑞星报为 Trojan.PSW.WoWar.qd。
文件说明符 : D:/WINDOWS/system32/windhcp.ocx
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-12-24 13:59:45
修改时间 : 2006-12-20 15:36:50
访问时间 : 2006-12-29 12:59:58
大小 : 41472 字节 40.512 KB
MD5 : d98249fd3ab41817f7bac87d97912b63
瑞星报为 Trojan.Agent.kh0。
用 HijackThis 修复上列可疑项。
到注册表删除服务 Npf (NetGroup Packet Filter Driver) 的项目。
相关文章推荐
- 遭遇Trojan.PSW.Lmir.kyo、Trojan.DL.QQHelper等N多木马
- 遭遇RootKit.Vanti.kn、Trojan.PSW.JHOnline.eqo、Trojan.PSW.LMir.ktn等
- 清除Trojan.PSW.WoWar.qq等木马
- 遭遇Trojan.PSW.Lmir等病毒(第4版)
- 遭遇Trojan.PSW.ZhengTu,Trojan.PSW.OnlineGames,Trojan.PSW.ZhuXian.b等
- 遭遇Trojan.PSW.OnlineGames、Trojan.HiJack.a、Trojan.PSW.ZhuXian.b等
- 今天机器中了病毒:Trojan.PSW.Lmir.pj.enc
- 遭遇木马Trojan.PSW.ZhengTu.dm、Trojan.PSW.LMir.atb
- 今天机器中了病毒:Trojan.PSW.Lmir.pj.enc
- 再战Trojan.PSW.Lmir.kuo、Trojan.PSW.Misc.kcc等网游盗号木马(第2版)
- 遭遇Trojan.PSW.JHOnline,Trojan.Spy.Agent等之后
- 遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等1
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等1
- 遭遇Trojan-PSW.Win32.WOW.ms、Trojan-PSW.Win32.Lmir.bgb等木马
- 遭遇auto.exe,Hack.ArpCheater.a(ARP欺骗工具),Trojan.PSW.ZhengTu等2
- 遭遇使用映像劫持的Worm.Agent.wk,Trojan.PSW.OnlineGames.caw等2
- 关于pagefile.pif(Trojan.PSW.Lmir.iux)病毒的解决
- 遭遇万能搜索(WANSO,RootKit.Agent.sa,Trojan.AdPlayer.a)、kuzhan等N多病毒
- Backdoor.DarkHole.2004 & Trojan.PSW.Heidong2004.dll,qq.dll 病毒分析&清除
- 遭遇Backdoor.Gpigeon.2007.ca,Trojan-PSW.Win32.QQRob.lg,Backdoor.Win32.Agent.bcn等3