(续1)
从pe_xscan 的 log 上看,病毒程序下载安装了许多恶意程序,并且其中一些放在IE及Tencent程序文件夹中,鱼目混珠。如:
文件说明符 : C:/Program Files/Internet Explorer/Top.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:20
修改时间 : 2009-9-22 16:26:22
大小 : 66141 字节 64.605 KB
MD5 : bf779e4ff8c6cd87355bd125aa4e5d49
SHA1: 8DF4753C33E9378607553651284C30F1907AF256
CRC32: f6b508f3
卡巴斯基 报为:Trojan-PSW.Win32.QQPass.msc,瑞星 报为:Trojan.PSW.Win32.QQPass.eri
文件说明符 : C:/PROGRA~1/INTERN~1/PLUGINS/IEPLUG.Dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-10 20:36:19
修改时间 : 2009-10-12 10:43:32
大小 : 42728 字节 41.744 KB
MD5 : 81f3c5dfec67cd967775f81430dc8281
SHA1: B4CE5AAE49F17F7BBAED9C12E4D5264FE4E4BBBE
CRC32: ce2d21c8
文件说明符 : C:/PROGRA~1/COMMON~1/Tencent/QQPlug/domain.dll
属性 : --H-
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : BhoPlugin Module
版权 : Copyright 2008
产品版本 : 1, 0, 0, 1
产品名称 : BhoPlugin Module
内部名称 : BhoPlugin
源文件名 : BhoPlugin.DLL
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 14848 字节 14.512 KB
MD5 : fcd1780462b4e4b09d95a2664a14ead9
SHA1: 0CE5CDBA42AC9FDA85C2261188CF1C186190DC44
CRC32: 3a1976e8
文件说明符 : C:/PROGRA~1/COMMON~1/Tencent/QQPlug/QQdoctor.exe
属性 : --H-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-9-22 16:26:34
修改时间 : 2009-9-22 16:26:36
大小 : 3584 字节 3.512 KB
MD5 : c3c97d3f2c903fcaf58e6d3084d14855
SHA1: FC090E91B3C18A02E27D2D274A28757BCBCC2F61
CRC32: a4b2a2ce
卡巴斯基 报为:Trojan-PSW.Win32.QQPass.omq,瑞星 报为:Trojan.Win32.Inject.fip
此外,病毒还替换了相当多的系统文件,如:
文件说明符 : C:/WINDOWS/system32/comres.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2009-10-16 21:14:8
修改时间 : 2009-10-10 22:56:52
大小 : 22016 字节 21.512 KB
MD5 : bf8705bcc12a0c36d9b472736d199943
SHA1: C44D45AD0FCA7D365226522BEF4D49BCD535CFB3
CRC32: c02168b4
卡巴斯基 报为:Trojan-GameThief.Win32.Magania.cegr,瑞星 报为:Trojan.PSW.Win32.DNFOnLine.bl
由于病毒中包括了viking,它不仅感染了C盘的EXE文件,还感染了其它盘的EXE文件。只要一运行其它盘中被感染的EXE文件,病毒就会重新发作。
手工修复相对来说麻烦一些:
用Win PE 来或 MAX DOS 系统来启动电脑,删除 log中红色标记的文件(可以写一个bat来完成),并用autoruns之类的软件删除病毒添加的启动项目;
对于被病毒替换的系统文件,有Windows SP3光盘的话,可以用sfc命令来修复,否则要手工从dllcache或其它电脑中复制;
用杀毒软件作一次彻底的扫描,清除其它盘中的病毒。DrWeb CureIt!对付感染型的病毒相当不错,绿色无须安装。
如果是一键还原C盘或重装系统,完成后也要用杀毒软件作一次彻底的扫描。