输入密码登录系统后又自动注销?原来是机器狗惹的祸2
endurer 原创
2008-02-17 第1版
(续输入密码登录系统后又自动注销?原来是机器狗惹的祸1
http://blog.csdn.net/Purpleendurer/archive/2008/02/15/2097467.aspx)
运行瑞星卡卡安全助手,自动扫描出2个流氓软件,清除了。
在[高级功能]—>[插件管理及卸载]里,把O2 和O24 项卸载掉
在[高级功能]—>[系统启用项管理]里,在左边点击[登录项],在右边找到 O4 项对应的项目,右击,从弹出的菜单里选择删除。
接着在[高级功能]—>[系统启用项管理]里,在左边点击[服务项]和[驱动],在右边找到 O23 项对应的项目,右击,从弹出的菜单里选择删除;在左边点击[应用程序劫持项],在右边找到 O26 项对应的项目,右击,从弹出的菜单里选择删除。
升级瑞星病毒库并全面扫描,同时用WinRAR看了看c:/windows/system32和C:/Program Files/Internet Explorer/PLUGINS,又发现一些病毒文件,用
用 bat_do 把病毒文件打包并延迟删除,用 FileInfo 提取病毒文件信息(bat_do 和 FileInfo 可到 http://purpleendurer.ys168.com 下载)。
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/Sys_Win7s.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 22:46:51
修改时间 : 2008-2-15 9:1:46
访问时间 : 2008-2-15 0:0:0
大小 : 33936 字节 33.144 KB
MD5 : 18a19ed6a0f4f09289b1d49f66112644
SHA1: 7DE0AE3737E0E268D9E72D4F573E74C86BD451BB
CRC32: 76b1bf23
Kaspersky 报为:Trojan-PSW.Win32.QQPass.auq,瑞星报为:Trojan.PSW.Win32.QQPass.GEN
C:/WINDOWS/system32/9.exe 与 Sys_Win7s.Jmp相同。
文件说明符 : C:/Program Files/Internet Explorer/PLUGINS/Sy_Win7k.Jmp
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2007-11-23 16:33:14
修改时间 : 2007-11-23 16:33:16
访问时间 : 2008-2-15 0:0:0
大小 : 33928 字节 33.136 KB
MD5 : a163e7e036cf4f95953385728d7b3cda
SHA1: EB18146FE71B9389279A6DBC9FB70A66E509D865
CRC32: d622d7cc
文件说明符 : C:/WINDOWS/system32/22.exe
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 22:47:57
修改时间 : 2008-2-13 23:11:28
访问时间 : 2008-2-15 0:0:0
大小 : 9025 字节 8.833 KB
MD5 : 9fdcadf38e267ef432672815473b82fc
SHA1: BAF400A892BC13D62087C5B504484651BC16F0F1
CRC32: b465a7f4
文件说明符 : C:/WINDOWS/system32/yvivyfjdj.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.3099
说明 : Windows XP MSPLAY API DLL
版权 : (C) Microsoft Corporation. All rights resad.
备注 :
产品版本 : 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 : Microsoft
内部名称 : msplay32
源文件名 : msplay32
创建时间 : 2008-2-13 22:47:56
修改时间 : 2008-2-13 22:47:58
访问时间 : 2008-2-15 0:0:0
大小 : 19893 字节 19.437 KB
MD5 : 43652a86a6fd85cd98f34723bb5a0203
SHA1: 40EFADA2EB646850BA5F5207437579D0D6790E63
CRC32: 565b6741
Kaspersky 报为 Trojan-PSW.Win32.Nilage.bzr,瑞星报为 Trojan.PSW.Win32.GameOL.lxg
文件说明符 : C:/WINDOWS/system32/okbwyr.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 23:10:48
修改时间 : 2008-2-13 23:10:50
访问时间 : 2008-2-15 0:0:0
大小 : 31232 字节 30.512 KB
MD5 : 9ff588d3dfac03b311fbe092741aa5ac
SHA1: 88EACE8E7C1DE20F6769C73C7F34E0039C34982A
CRC32: b3fd6f26
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qkv,瑞星报为 Trojan.PSW.Win32.SunOnline.mf
文件说明符 : C:/WINDOWS/system32/LotusHlp.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 23:11:0
修改时间 : 2008-2-13 23:11:2
访问时间 : 2008-2-15 0:0:0
大小 : 28672 字节 28.0 KB
MD5 : cdabc2a0fc42546175d59bb92093f521
SHA1: 89E7E99A9308524815DBAE8BF7CC8670ECBA9D45
CRC32: 6fb09c3f
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qya,瑞星报为 Trojan.PSW.Win32.QQPass.zcz
文件说明符 : C:/WINDOWS/system32/msepion.sys
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 22:46:44
修改时间 : 2008-2-13 23:11:4
访问时间 : 2008-2-15 0:0:0
大小 : 10112 字节 9.896 KB
MD5 : 9799ec209ebdd492ddf511315a671e87
SHA1: FB36EE21F39181277C3EFC3AA37E4CBC12DF87BB
CRC32: a2919a4c
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.rfd
文件说明符 : C:/WINDOWS/system32/PTSShell.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 23:11:9
修改时间 : 2008-2-13 23:11:10
访问时间 : 2008-2-15 0:0:0
大小 : 29696 字节 29.0 KB
MD5 : e67ce6834b2235f5e031bac88e37ac94
SHA1: 2C5BA546E13118C5FB0A9751F7A91D623970B759
CRC32: 16ceb673
Kaspersky 报为 Trojan-PSW.Win32.OnLineGames.qsq,瑞星报为 Trojan.PSW.Win32.QQHX.twa
文件说明符 : C:/WINDOWS/system32/mswwwdj32.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2008-2-13 22:47:49
修改时间 : 2008-2-13 23:11:18
访问时间 : 2008-2-15 0:0:0
大小 : 31345 字节 30.625 KB
MD5 : 766d715d35a2c89a9000dac937daef4d
SHA1: 86FBF9CCC897A4A3A9CA15E47346EDE8310899C5
CRC32: 1fe306f3
文件说明符 : C:/WINDOWS/system32/internt.exe
属性 : ASH-
获取文件版本信息大小失败!
创建时间 : 2008-2-13 22:47:50
修改时间 : 2007-3-28 16:40:24
访问时间 : 2008-2-15 14:1:44
大小 : 6041 字节 5.921 KB
MD5 : 019b1d0fe70dbdf7a857d4475c13bd79
SHA1: E10E1A3272DB8E984F0B3D5C2F2FC218860B9404
CRC32: 9be5a15b
Kaspersky 报为 Worm.Win32.Agent.aj,瑞星报为 Worm.Tinret.a》fsg2.0
C:/WINDOWS/system32/progmon.exe 与 internt.exe 相同。
文件说明符 : C:/WINDOWS/system32/miraqvbdj.dll
属性 : A---
语言 : 中文(中国)
文件版本 : 5.1.2600.3099
说明 : Windows XP MSPLAY API DLL
版权 : (C) Microsoft Corporation. All rights resad.
备注 :
产品版本 : 5.1.2600.3099 (xpsp_sp2_gdr.070308-0222)
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
合法商标 : Microsoft
内部名称 : msplay32
源文件名 : msplay32
创建时间 : 2008-2-13 23:11:24
修改时间 : 2008-2-13 23:11:26
访问时间 : 2008-2-15 0:0:0
大小 : 19893 字节 19.437 KB
MD5 : 5dbb2aaee22030409e2af3cef2952f49
SHA1: 4FDCEEFCC924B7DC5786202C2CC34715C4E76911
CRC32: 404e0d93
Kaspersky 报为 Trojan-PSW.Win32.Nilage.bzr