遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等2

时间:2022-09-06 13:55:43

遭遇svchoct.exe,vonine.exe,HBKernel32.sys,ssdtti.sys,System.exe,ublhbztl.sys等2

endurer 原创
2008-10-23 第1

 

分析好了,就开始修复。

先下载 bat_do 和 FileInfo,用FileInfo提取红色标记的文件信息,并用bat_do打包备份,延时删除。

重启电脑。

由于注册表编辑器regedit.exe也被恶意程序做了映像劫持,因此我们先把注册表编辑器regedit.exe复制为 r.exe,再运行 r.exe,删除劫持卡卡安全助手的映像劫持(O26-IEFO)项:O26 - IFEO: Ras.exe -> ntsd -d

这样我们就可以启动卡卡安全助手来清理恶意程序的启动项了。

清理完后,手动升级瑞星,才发现机子中的瑞星N天未升级了~

 

附部分恶意程序文件信息:

 


文件说明符 : C:/WINDOWS/system32/HBmhly.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:9
修改时间 : 2008-10-20 10:12:10
大小 : 19968 字节 19.512 KB
MD5 : 2f35d8fc0e82c69cc40ea177f1ae545e
SHA1: 55B194B7D0E2F1E50855FFDE332D7D1F608200C9
CRC32: 36473122

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tnms,瑞星报为:*.PSW.Win32.GameOL.rbw

 

文件说明符 : C:/WINDOWS/system32/HBSOUL.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:58
修改时间 : 2008-10-20 10:12:0
大小 : 16896 字节 16.512 KB
MD5 : 4311dafab1f97e3372c2f0a492fcaec8
SHA1: 7D69A72D7635FE4EC7337D177D654C563025FC23
CRC32: eea5ecbe

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toul,瑞星报为:*.PSW.Win32.GameOL.qxr

 

文件说明符 : C:/WINDOWS/system32/HBTL.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:58
修改时间 : 2008-10-20 10:12:0
大小 : 16896 字节 16.512 KB
MD5 : 73639aaa4dc665acf454dc17f6d09c78
SHA1: 35E5AE7B4B270DA9C44619EF83DE4D305D3BB957
CRC32: 8625e600

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toro,瑞星报为:*.PSW.Win32.GameOL.qxr

文件说明符 : C:/WINDOWS/system32/zjuwqgep.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:12
修改时间 : 2008-10-20 10:12:16
大小 : 2278828 字节 2.177 MB
MD5 : 0499a0bc3172e8d9a53d9d1b8021ffa5
SHA1: B0D9F3D94086DE87D7583EEF672CB4490135F11F
CRC32: 32ddcfb3

卡巴斯基报为:*-GameThief.Win32.OnLineGames.torh,瑞星报为:*.PSW.Win32.GameOL.rdi

 

文件 zjuwqgep.dll 接收于 2008.10.23 15:49:12 (CET)

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.10.22.0 2008.10.23 Win-*/OnlineGameHack
AntiVir 7.9.0.5 2008.10.23 -
Authentium 5.1.0.4 2008.10.23 W32/OnlineGames.B.gen!GSA
Avast 4.8.1248.0 2008.10.23 Win32:OnLineGames-EZD
AVG 8.0.0.161 2008.10.23 PSW.OnlineGames.BDOQ
BitDefender 7.2 2008.10.23 -
CAT-QuickHeal 9.50 2008.10.23 -
ClamAV 0.93.1 2008.10.23 -
DrWeb 4.44.0.09170 2008.10.23 *.PWS.Wsgame.7733
eSafe 7.0.17.0 2008.10.22 -
eTrust-Vet 31.6.6164 2008.10.22 Win32/GameStealer!generic
Ewido 4.0 2008.10.23 -
F-Prot 4.4.4.56 2008.10.23 W32/OnlineGames.B.gen!GSA
F-Secure 8.0.14332.0 2008.10.23 *-GameThief.Win32.OnLineGames.torh
Fortinet 3.113.0.0 2008.10.23 -
GData 19 2008.10.23 Win32:OnLineGames-EZD
Ikarus T3.1.1.44.0 2008.10.23 Virus.*.GameThief.Win32.OnLineGames.toli
K7AntiVirus 7.10.505 2008.10.23 -
Kaspersky 7.0.0.125 2008.10.23 *-GameThief.Win32.OnLineGames.torh
McAfee 5412 2008.10.23 -
Microsoft 1.4005 2008.10.23 PWS:Win32/OnLineGames.GA
NOD32 3548 2008.10.23 Win32/PSW.OnLineGames.NQM
Norman 5.80.02 2008.10.23 W32/OnLineGames.CARI
Panda 9.0.0.4 2008.10.23 -
PCTools 4.4.2.0 2008.10.23 -
Prevx1 V2 2008.10.23 -
Rising 21.00.32.00 2008.10.23 *.PSW.Win32.GameOL.rdi
SecureWeb-Gateway 6.7.6 2008.10.23 -
Sophos 4.34.0 2008.10.23 -
Sunbelt 3.1.1747.1 2008.10.23 -
Symantec 10 2008.10.23 -
TheHacker 6.3.1.0.124 2008.10.23 -
TrendMicro 8.700.0.1004 2008.10.23 -
VBA32 3.12.8.8 2008.10.22 *-GameThief.Win32.OnLineGames.torh
ViRobot 2008.10.23.1434 2008.10.23 -
VirusBuster 4.5.11.0 2008.10.22 *.DL.OnlineGames.Gen.90

附加信息
File size: 2278828 bytes
MD5...: 0499a0bc3172e8d9a53d9d1b8021ffa5
SHA1..: b0d9f3d94086de87d7583eef672cb4490135f11f
SHA256: ec46d9d88e166e6f6bcddf009df97a9b2273e8f69add53c66e75d897bfcf919d
SHA512: 2b38166bdebae1ee63696de69c9352019f82f9f05440fa9220434c8a4f2e7145
514217704b261127338572297842f08576c46290c78cb794f1526420e3136bba
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000326a
timedatestamp.....: 0x48f77459 (Thu Oct 16 17:05:29 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2310 0x2400 6.29 6aec1df0afa283e0fda7caa2a2c21ca7
.rdata 0x4000 0x560 0x600 4.62 e31775298452e3fbfad0589542298474
.data 0x5000 0x8b0 0x200 0.49 fa4fe2fa424bf9b18530df66b5a90014
.rsrc 0x6000 0x10 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.reloc 0x7000 0x48c 0x600 3.89 9a7858b6b3723b7ac7f1e3672a24c552

( 3 imports )
> KERNEL32.dll: GetCurrentProcess, Sleep, GetModuleFileNameA, CloseHandle, SetEvent, ExitProcess, ReadFile, GetFileSize, CreateFileA, GetCommandLineW, GetProcAddress, GetModuleHandleA, IsBadReadPtr, SetFilePointer, HeapAlloc, GetProcessHeap, VirtualProtect, TerminateProcess, LoadLibraryW, MultiByteToWideChar, WideCharToMultiByte, LoadLibraryA, OpenEventA, CreateEventA, CreateThread
> USER32.dll: BroadcastSystemMessageA, SetWindowsHookExA, CallNextHookEx, ToAscii, wsprintfA, wvsprintfA, GetKeyboardState, MapVirtualKeyA
> MSVCRT.dll: strstr, _strcmpi, _adjust_fdiv, _initterm, _strlwr, realloc, strcpy, strcat, strlen, free, sprintf, strchr, strncpy, isdigit, memset, malloc, memcpy, _except_handler3, strrchr

( 0 exports )

文件说明符 : C:/WINDOWS/system32/58FF3024.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:13:12
修改时间 : 2008-10-20 10:13:14
大小 : 12980 字节 12.692 KB
MD5 : ddd4604b842d3ad89c7783cb0224b9aa
SHA1: 5644759BA224EA6E4F4AA5CF30F5EA7059E7E8AE
CRC32: 7b5f7f23

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tpho,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/495271CA.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:50
修改时间 : 2008-10-20 10:12:52
大小 : 11973 字节 11.709 KB
MD5 : 497f1253d422e4f67143ae379050c801
SHA1: D9D4F07E518C3B5AD9299DE88BA099AEC1930A5B
CRC32: fdc10e5d

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toyh,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/22D75360.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:56
修改时间 : 2008-10-20 10:12:58
大小 : 216508 字节 211.444 KB
MD5 : d616fa131127910d5e8f6181f264ab46
SHA1: 6DAEEDC878D59B03AD855E01688786326435566F
CRC32: 24cf3bc7

卡巴斯基报为:*-GameThief.Win32.Magania.agyf,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/4BF9CBA3.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:37
修改时间 : 2008-10-20 10:12:38
大小 : 217017 字节 211.953 KB
MD5 : b96886ae8eb0f81e4d2ebbdf1de65761
SHA1: 47C5024EAFACB3F1073DFB24759F55D77FC2698B
CRC32: 1c530120

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toyj,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/4F34C688.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:45
修改时间 : 2008-10-20 10:12:46
大小 : 11722 字节 11.458 KB
MD5 : f8eec4f6ffefda80bcea075e3ca2dc73
SHA1: FC81F9F6B620ECEC7CD7A480CE2B4195B9740D63
CRC32: 642ad18a

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tpih,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/C250CF20.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:32
修改时间 : 2008-10-20 10:12:34
大小 : 11655 字节 11.391 KB
MD5 : 8a6ab4fb488e702ce92f41aca741e2ea
SHA1: A0A06CCDC14A6FD72AE02CDBC86F51F0D4841156
CRC32: b2ce2ab5

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toyg,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/82710040.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:27
修改时间 : 2008-10-20 10:12:28
大小 : 11384 字节 11.120 KB
MD5 : a5b0480a31d90a4708a019269fd1786d
SHA1: 87337FB107A3E92D615D26DC9AD8DDE008B30F6F
CRC32: e1894201

瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/9CA963CA.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:22
修改时间 : 2008-10-20 10:12:24
大小 : 11953 字节 11.689 KB
MD5 : 25e14db215f3bf240c6bb174dd4e045a
SHA1: 6294E08F2E0C9E85289B34ACD3A21285CAA0CE58
CRC32: 1d5ff685

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tpks-,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/122B901E.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:17
修改时间 : 2008-10-20 10:12:18
大小 : 12532 字节 12.244 KB
MD5 : c4b516ccab90ddf1aa1ee22821fedebb
SHA1: A5DB3622B5D00FFC629C8A4E17D70BB0AE6B2C53
CRC32: 71d6b546

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tpjn,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/3474A8C2.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:12
修改时间 : 2008-10-20 10:12:14
大小 : 216151 字节 211.87 KB
MD5 : fd3ece90486d6964860dd693d5f5e97f
SHA1: 9D87AE44E3668453AB81E6AFE3B254351D07C48A
CRC32: e6efe7c4

卡巴斯基报为:*-GameThief.Win32.Magania.ahtl,瑞星报为:*.PSW.Win32.GameOL.rhg

文件说明符 : C:/WINDOWS/system32/08223B03.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:10
修改时间 : 2008-10-20 10:12:12
大小 : 12213 字节 11.949 KB
MD5 : c3a94b713ce0e73d1bfe914036159e74
SHA1: 42AB0FF6FCD2BA14CED2901C764FBE91CB1961DD
CRC32: d0558d4e

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toyk,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/4D023DE9.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:5
修改时间 : 2008-10-20 10:12:6
大小 : 11698 字节 11.434 KB
MD5 : 56001c1986afa8adfba0f545dae053cb
SHA1: 4A0B9C98DCDE76D6A2C64F4F3D153F60097DA393
CRC32: 4803fdf3

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tpqd,瑞星报为:*.PSW.Win32.GameOL.rhg

文件说明符 : C:/WINDOWS/system32/DA63E650.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:2
修改时间 : 2008-10-20 10:12:4
大小 : 12788 字节 12.500 KB
MD5 : 6b4066e344f67a9d980a718a4ba30132
SHA1: 0081A7B354EEE53629F3F8125F1456CB7A02D7E5
CRC32: 9fd869a4

卡巴斯基报为:*-GameThief.Win32.Magania.ahva,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/DE02F764.dll
属性 : ASH-
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:59
修改时间 : 2008-10-20 10:12:0
大小 : 217202 字节 212.114 KB
MD5 : e3929a56630c2edddce20ffd16879f77
SHA1: B3E26D00ED7A5FA3DC99BD3BD9E70F8785BEF678
CRC32: 3e8d161e

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tpop,瑞星报为:*.PSW.Win32.GameOL.rhg

 

文件说明符 : C:/WINDOWS/system32/HBCHIBI.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:43
修改时间 : 2008-10-20 10:12:44
大小 : 24576 字节 24.0 KB
MD5 : 5412cf0801d2c1b3dea70a1c86d436bd
SHA1: F03423EE830F0079846610F1239F7BD78617FF62
CRC32: c5ff6a35

卡巴斯基报为:*.Win32.SmallGame.l-,瑞星报为:_*.PSW.Win32.XYOnline.ahs

 

文件说明符 : C:/WINDOWS/system32/HBBO.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:41
修改时间 : 2008-10-20 10:12:42
大小 : 24576 字节 24.0 KB
MD5 : 3655f466a56da3f23b25363909f2a299
SHA1: D8CB7E8A9781916DB5B96F053F490708C70AFE6D
CRC32: 15e70b44

卡巴斯基报为:*.Win32.SmallGame.n,瑞星报为:*.PSW.Win32.GameOL.qop

文件说明符 : C:/WINDOWS/system32/HBWOW.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:59
修改时间 : 2008-10-20 10:12:0
大小 : 28672 字节 28.0 KB
MD5 : 1bf693c156356594c2f6a5182752a15a
SHA1: 726583FB1B8F1745F340C66B55E7374E11045871
CRC32: 755a4bf6

卡巴斯基报为:*-GameThief.Win32.WOW.cgf,瑞星报为:*.PSW.Win32.WoWar.avj

 

文件说明符 : C:/WINDOWS/system32/HBZHUXIAN.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:26
修改时间 : 2008-10-20 10:12:28
大小 : 24576 字节 24.0 KB
MD5 : d8f3e477ad32ca460ebbc87c36e34178
SHA1: 23D585EEB7C45AAB562B63126CA0D6A18FE23D1B
CRC32: 3abe218f

卡巴斯基报为:*.Win32.SmallGame.a,瑞星报为:*.PSW.Win32.XYOnline.ahs

文件说明符 : C:/WINDOWS/system32/HBASKTAO.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:59
修改时间 : 2008-10-20 10:12:0
大小 : 24576 字节 24.0 KB
MD5 : 3fbf6efa39c7a57b1fe2ba063d0563e2
SHA1: A67C11A02DF6DEE0DD90A5E165F9ED7441ED988F
CRC32: 52704f8d

卡巴斯基报为:*-GameThief.Win32.OnLineGames.toiz,瑞星报为:*.PSW.Win32.AskTao.ix

 

文件说明符 : C:/WINDOWS/system32/vonine.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 2
说明 : NECCYE
版权 : 版权所有 NECCYE(C) 2009
备注 : NECCYE
产品版本 : 1, 0, 0, 2
产品名称 : NECCYE
公司名称 : NECCYE
合法商标 : NECCYE
内部名称 : NECCYE
源文件名 : NECCYE.EXE
创建时间 : 2008-10-20 10:13:33
修改时间 : 2008-10-20 10:13:18
大小 : 28032 字节 27.384 KB
MD5 : 205b197cf45085508be049d1c6197a0b
SHA1: DE75135B5BEA1B662DC15823C518450227BC9828
CRC32: 26f90783

文件 vonine.exe 接收于 2008.10.22 08:46:59 (CET)

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.21 TR/Click.Agent.eav
Authentium 5.1.0.4 2008.10.22 W32/Downloader.J.gen!Eldorado
Avast 4.8.1248.0 2008.10.21 Win32:Small-KAZ
AVG 8.0.0.161 2008.10.21 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.21 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 Win32.HLLW.Ressdt.7
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 W32/Downloader.J.gen!Eldorado
F-Secure 8.0.14332.0 2008.10.22 *-Clicker.Win32.Agent.eav
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 Win32:Small-KAZ
Ikarus T3.1.1.44.0 2008.10.22 *-PWS.Win32.Agent.hf
K7AntiVirus 7.10.501 2008.10.21 *-Clicker.Win32.Agent.eav
Kaspersky 7.0.0.125 2008.10.22 *-Clicker.Win32.Agent.eav
McAfee 5411 2008.10.22 New Malware.aj
Microsoft 1.4005 2008.10.22 PWS:Win32/QQGame.F
NOD32 3544 2008.10.21 a variant of Win32/*Clicker.Agent.NEM
Norman 5.80.02 2008.10.21 W32/Packed_Upack.A
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.21 Packed/Upack
Prevx1 V2 2008.10.22 -
Rising 20.67.20.00 2008.10.22 *.DL.Win32.Mnless.bix
SecureWeb-Gateway 6.7.6 2008.10.21 *.Click.Agent.eav
Sophos 4.34.0 2008.10.22 Mal/Emogen-N
Sunbelt 3.1.1742.1 2008.10.21 VIPRE.Suspicious
Symantec 10 2008.10.22 Infostealer.Onlinegame
TheHacker 6.3.1.0.123 2008.10.22 W32/Behav-Heuristic-060
TrendMicro 8.700.0.1004 2008.10.22 TROJ_MNLESS.MJ
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1431 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.21 Packed/Upack

附加信息
File size: 28032 bytes
MD5...: 205b197cf45085508be049d1c6197a0b
SHA1..: de75135b5bea1b662dc15823c518450227bc9828
SHA256: 2a5a9111f7fe3551aacc3c840bbd221165d72af84716a655f12c6e05575586de
SHA512: 3c626c8a19f65c8baa7bd9cd5bf0493841f433f33a772f3f2fdcd4701918b7b5
06adcebc4e8ff653d9d115d053f51b7bfc188f1636f81000b833cabf9a2c07cd
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x50000 0x1f0 5.20 cebc752d518c3ca2caf8bf95f5b18809
@XzE 0x51000 0xe000 0x6b80 7.78 469d99e221fbad9a63fca01e1c316bbf
TE@ 0x5f000 0x1000 0x1f0 5.20 cebc752d518c3ca2caf8bf95f5b18809

( 0 imports )

( 0 exports )
packers (Kaspersky): PE_Patch, UPack
packers (Avast): Upack

文件说明符 : C:/WINDOWS/system32/ietool.dll
属性 : 获取失败
数字签名:否
PE文件:未能打开文件以读
未能打开文件以读
大小 : 失败!

文件说明符 : C:/WINDOWS/system32/lingyu.dll
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 0, 1
说明 : Fengli toolbar
版权 : Copyright 2001
产品版本 : 1, 0, 0, 1
产品名称 : Fengli toolbar
公司名称 : ±±??·?á|D??¢????óD?T1???
内部名称 : Fengli toolbar
源文件名 : Fengli toolbar.DLL
创建时间 : 2008-7-22 19:47:22
修改时间 : 2008-7-22 19:47:22
大小 : 105472 字节 103.0 KB
MD5 : 2730c6b975919ff007dfeea90f0fbf04
SHA1: 730BC9516D609A1B2342AC3552C66C81625EB7EB
CRC32: 77c61515

 

文件说明符 : C:/WINDOWS/system32/ctfmon.exe
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2004-8-17 12:0:0
修改时间 : 2004-8-17 12:0:0
大小 : 15360 字节 15.0 KB
MD5 : 9663bbc80831c55bfb858d472687ef5a
SHA1: 15E09CBAE3B845900AD68689F91BF64A865BA922
CRC32: 3c9a86ba

 

文件说明符 : C:/WINDOWS/system32/inf/svchoct.exe
属性 : A---
数字签名:Microsoft Corporation
PE文件:是
语言 : 中文(中国)
文件版本 : 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
说明 : Run a DLL as an App
版权 : (C) Microsoft Corporation. All rights reserved.
产品版本 : 5.1.2600.2180
产品名称 : Microsoft(R) Windows(R) Operating System
公司名称 : Microsoft Corporation
内部名称 : rundll
源文件名 : RUNDLL.EXE
创建时间 : 2008-10-20 10:13:8
修改时间 : 2004-8-17 12:0:0
大小 : 32768 字节 32.0 KB
MD5 : 65a70ec4649499399b50ac75d911a501
SHA1: 50B6883D97A1FF6EDFDE788FC8E9F0ABE8DE242A
CRC32: 167f31ee

 

文件说明符 : C:/WINDOWS/system32/System.exe
属性 : A---
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 2, 1, 1007
说明 : HB Inject Application Version 1.2.1.1007
版权 : Copyright ? 2008, HB Software
产品版本 : 1, 2, 1, 1007
产品名称 : HB Inject Application
公司名称 : HB Software
内部名称 : HBInject
源文件名 : HBInject.exe
创建时间 : 2008-10-20 10:11:58
修改时间 : 2008-10-20 10:12:0
大小 : 3572 字节 3.500 KB
MD5 : dd62c474ee9c417466cd55adcaf63fd2
SHA1: 8478E49534628AC17E6B27C4F0E3625B2FE08076
CRC32: c2450b3f

卡巴斯基报为:*-GameThief.Win32.MultiFirst.h,瑞星报为:*.Win32.Undef.rfx

 

文件 System.exe 接收于 2008.10.22 08:30:47 (CET)

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.10.22.0 2008.10.22 Win-*/OnlineGameHack.3572
AntiVir 7.9.0.5 2008.10.21 TR/Spy.Agent.nxa
Authentium 5.1.0.4 2008.10.22 W32/Heuristic-210!Eldorado
Avast 4.8.1248.0 2008.10.21 Win32:Spyware-gen
AVG 8.0.0.161 2008.10.21 PSW.OnlineGames.BCAL
BitDefender 7.2 2008.10.22 *.Agent.AKNL
CAT-QuickHeal 9.50 2008.10.21 *GameThief.MultiFirst.h
ClamAV 0.93.1 2008.10.22 *.Starter-12
DrWeb 4.44.0.09170 2008.10.22 *.Starter.600
eSafe 7.0.17.0 2008.10.19 Suspicious File
eTrust-Vet 31.6.6162 2008.10.21 Win32/Lolyda.CY
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 W32/Heuristic-210!Eldorado
F-Secure 8.0.14332.0 2008.10.22 *-GameThief.Win32.MultiFirst.h
Fortinet 3.113.0.0 2008.10.22 W32/OnLineGames.NR!tr.pwst
GData 19 2008.10.22 *.Agent.AKNL
Ikarus T3.1.1.44.0 2008.10.22 *-PWS.Win32.Agent.hf
K7AntiVirus 7.10.501 2008.10.21 *-PSW.Win32.MultiFirst.h
Kaspersky 7.0.0.125 2008.10.22 *-GameThief.Win32.MultiFirst.h
McAfee 5411 2008.10.22 PWS-Mmorpg.gen
Microsoft 1.4005 2008.10.22 PWS:Win32/Lolyda.M
NOD32 3544 2008.10.21 Win32/PSW.OnLineGames.NRF
Norman 5.80.02 2008.10.21 W32/Packed_Upack.A
Panda 9.0.0.4 2008.10.22 Trj/Lineage.JXM
PCTools 4.4.2.0 2008.10.21 *-Spy.Gampass!sd6
Prevx1 V2 2008.10.22 -
Rising 20.67.20.00 2008.10.22 *.Win32.Undef.rfx
SecureWeb-Gateway 6.7.6 2008.10.21 *.Spy.Agent.nxa
Sophos 4.34.0 2008.10.22 Mal/Generic-A
Sunbelt 3.1.1742.1 2008.10.21 *.Agent.AKNL
Symantec 10 2008.10.22 Infostealer.Gampass
TheHacker 6.3.1.0.123 2008.10.22 */MultiFirst.h
TrendMicro 8.700.0.1004 2008.10.22 TROJ_SMALL.JLM
VBA32 3.12.8.8 2008.10.22 *-GameThief.Win32.MultiFirst.h
ViRobot 2008.10.22.1431 2008.10.22 *.Win32.PSWMultiFirst.3572
VirusBuster 4.5.11.0 2008.10.21 Packed/Upack

附加信息
File size: 3572 bytes
MD5...: dd62c474ee9c417466cd55adcaf63fd2
SHA1..: 8478e49534628ac17e6b27c4f0e3625b2fe08076
SHA256: 1c16b7ac8e55c97339224a40988747127b47363c6e0467f928640a716a25f563
SHA512: f11b8925eb6da91a35c5ac026eedb4593f22506091a4b7707c6a8f7a0c1cca1f
8b169179b466864e7ed4317edb5e270d0d6d39c927f03ab99c57054aedbffb82
PEiD..: -
TrID..: File type identification
DOS Executable Generic (100.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401018
timedatestamp.....: 0x4011b0be (Fri Jan 23 23:39:42 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
PS 0x1000 0x5000 0x1f0 5.15 0a7500b580c60decaaf98d1eb145da78
@j@ 0x6000 0x8000 0xbf4 7.08 52e79436cd3ae7afa5b78b243d1ae39f
R@@ 0xe000 0x1000 0x1f0 5.15 0a7500b580c60decaaf98d1eb145da78

( 0 imports )

( 0 exports )
packers (F-Prot): UPack
packers (Kaspersky): PE_Patch, UPack
packers (Authentium): UPack


文件说明符 : C:/WINDOWS/wftadfi16_081016a.dll
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:13:11
修改时间 : 2008-10-20 10:13:12
大小 : 36352 字节 35.512 KB
MD5 : 819699bb7da71dfa1d18abc9ca2fd31d
SHA1: 0FE8D2533AD185C077D46B91E2714A89EDEC2131
CRC32: 4fe8886b

 

文件说明符 : C:/Documents and Settings/All Users/「开始」菜单/程序/启动/svchost.exe
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:23
修改时间 : 2008-10-20 10:11:24
大小 : 6540 字节 6.396 KB
MD5 : 0f4395f8624896f181e05ba455afdef9
SHA1: 3FF69D717EC60B5E6FCF7E7E454A9CA75D688E36
CRC32: c56c150f

卡巴斯基报为:*.Win32.KillAV.alu,瑞星报为:*.DL.Win32.Undef.axl


文件说明符 : C:/WINDOWS/system32/8b52f47.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:59
修改时间 : 2008-10-20 10:12:0
大小 : 5504 字节 5.384 KB
MD5 : c2d13357df0fc1402aaae00a55944334
SHA1: CA0B2019F8EA5915561ACA7B78B0BED5CE418110
CRC32: d4c57227

文件 8b52f47.sys 接收于 2008.10.22 08:56:57 (CET)

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.21 TR/Thief.Magania.ahil
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.21 Win32:*-gen {Other}
AVG 8.0.0.161 2008.10.21 PSW.Agent.VTL
BitDefender 7.2 2008.10.22 *.PWS.OnlineGames.ZWI
CAT-QuickHeal 9.50 2008.10.21 *GameThief.Magania.ahil
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 *-GameThief.Win32.Magania.ahil
Fortinet 3.113.0.0 2008.10.22 W32/Rootkit.A
GData 19 2008.10.22 *.PWS.OnlineGames.ZWI
Ikarus T3.1.1.44.0 2008.10.22 *-GameThief.Win32.OnLineGames
K7AntiVirus 7.10.501 2008.10.21 *-PSW.Win32.Magania.ahil
Kaspersky 7.0.0.125 2008.10.22 *-GameThief.Win32.Magania.ahil
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 -
NOD32 3544 2008.10.21 Win32/PSW.Agent.NIM
Norman 5.80.02 2008.10.21 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.21 -
Prevx1 V2 2008.10.22 Rootkit
Rising 20.67.20.00 2008.10.22 *.PSW.Win32.GameOL.rel
SecureWeb-Gateway 6.7.6 2008.10.21 *.Thief.Magania.ahil
Sophos 4.34.0 2008.10.22 Mal/RootKit-A
Sunbelt 3.1.1742.1 2008.10.21 *-PWS.OnlineGames.ZWI
Symantec 10 2008.10.22 Hacktool.Rootkit
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 -
ViRobot 2008.10.22.1431 2008.10.22 Spyware.PSW.Magania.5504
VirusBuster 4.5.11.0 2008.10.21 -

附加信息
File size: 5504 bytes
MD5...: c2d13357df0fc1402aaae00a55944334
SHA1..: ca0b2019f8ea5915561aca7b78b0bed5ce418110
SHA256: 050545c658e8db12bd8439df74ad5220784f1f15fe60d6bc553f76df47ec85cd
SHA512: f977c6b81698892d8b989bb7e6fcdbf9ce653e12bba4a18e8a418e665a5521f6
bf96270f739fcbbf7bcff95e8c0265b21a1e12d5a2c9d2fb9286327e8d976655
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10d22
timedatestamp.....: 0x48f73fc4 (Thu Oct 16 13:21:08 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0x99a 0xa00 5.94 649256de6ee050ec7084f175acac7944
.rdata 0xe00 0x10f 0x180 2.29 e60bf10c172d884b6e2230027ffc2ad7
.data 0xf80 0x5 0x80 0.00 f09f35a5637839458e462e6350ecbce4
INIT 0x1000 0x3c0 0x400 4.99 d2f74b9581f0385190fc67bd065630fa
.reloc 0x1400 0x106 0x180 3.00 1f8160450d5b398f09f114f7af22bd84

( 1 imports )
> ntoskrnl.exe: IoFreeIrp, IoFreeMdl, KeSetEvent, InterlockedIncrement, KeWaitForSingleObject, IofCallDriver, KeGetCurrentThread, SeCreateAccessState, IoGetFileObjectGenericMapping, KeInitializeEvent, IoAllocateIrp, ObCreateObject, ObfDereferenceObject, NtClose, ObReferenceObjectByHandle, IoFileObjectType, IoCreateFile, RtlInitUnicodeString, InterlockedDecrement, IoReuseIrp, KeClearEvent, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoDeleteDevice, ExFreePoolWithTag, KeServiceDescriptorTable, RtlFreeUnicodeString, wcscat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwClose, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ExFreePool, ExAllocatePoolWithTag, NtQuerySystemInformation, IoCreateDevice

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=28BCDA1F806DAD631599007796A3AF00F871D568


文件说明符 : C:/WINDOWS/system32/4901228.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:12:56
修改时间 : 2008-10-20 10:12:58
大小 : 5504 字节 5.384 KB
MD5 : 2c447dcf5b4f44ca4a44ecea73bbebf1
SHA1: 285376C51E98176BCCEC889B71FAE522564D7C6F
CRC32: 79292500

 

文件 4901228.sys 接收于 2008.10.22 09:01:58 (CET)

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.10.22.0 2008.10.22 Win-*/Rootkit.5504.G
AntiVir 7.9.0.5 2008.10.21 TR/PSW.OnlineGames.ZWI.2
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.21 Win32:Rootkit-gen
AVG 8.0.0.161 2008.10.21 PSW.Agent.VRK
BitDefender 7.2 2008.10.22 *.PWS.OnlineGames.ZWI
CAT-QuickHeal 9.50 2008.10.21 *GameThief.OnLineGames.t
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 *.PWS.Gamania.13746
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 *-GameThief.Win32.OnLineGames.toia
Fortinet 3.113.0.0 2008.10.22 W32/Rootkit.A
GData 19 2008.10.22 *.PWS.OnlineGames.ZWI
Ikarus T3.1.1.44.0 2008.10.22 *-GameThief.Win32.OnLineGames
K7AntiVirus 7.10.501 2008.10.21 *.Win32.Malware.1
Kaspersky 7.0.0.125 2008.10.22 *-GameThief.Win32.OnLineGames.toia
McAfee 5411 2008.10.22 PWS-Mmorpg.gen
Microsoft 1.4005 2008.10.22 VirTool:WinNT/Rootkitdrv.FR
NOD32 3544 2008.10.21 Win32/PSW.Agent.NIM
Norman 5.80.02 2008.10.21 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.21 Hacktool.Rootkit!sd6
Prevx1 V2 2008.10.22 Rootkit
Rising 20.67.20.00 2008.10.22 RootKit.Win32.Undef.sy
SecureWeb-Gateway 6.7.6 2008.10.21 *.PSW.OnlineGames.ZWI.2
Sophos 4.34.0 2008.10.22 Mal/RootKit-A
Sunbelt 3.1.1742.1 2008.10.21 *-PWS.OnlineGames.ZWI
Symantec 10 2008.10.22 Hacktool.Rootkit
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 *-GameThief.Win32.OnLineGames.toia
ViRobot 2008.10.22.1431 2008.10.22 *.Win32.PSWIGames.5504.K
VirusBuster 4.5.11.0 2008.10.21 -

附加信息
File size: 5504 bytes
MD5...: 2c447dcf5b4f44ca4a44ecea73bbebf1
SHA1..: 285376c51e98176bccec889b71fae522564d7c6f
SHA256: a61e3b9a150ae9eef48cf98efd832653049f3dffd497196d6920d44bf31ff7ba
SHA512: 807c1f749f76e45679856a02d62d5cd431a7df3af2173b5e9b46e0c663cb9dd2
3356471dc2f188cc901259d42fae3c22700cb3b399db10c70ef06ca58e51a947
PEiD..: -
TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10d20
timedatestamp.....: 0x48f3397b (Mon Oct 13 12:05:15 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0x998 0xa00 5.95 fad715baae6b93c9c7e6c74ebeb82b15
.rdata 0xe00 0x10f 0x180 2.26 0fdddad4f4f71990c75021243c61b1fe
.data 0xf80 0x5 0x80 0.00 f09f35a5637839458e462e6350ecbce4
INIT 0x1000 0x3c0 0x400 4.99 d2f74b9581f0385190fc67bd065630fa
.reloc 0x1400 0x106 0x180 2.98 9b89afbdb945490584c6c71ada360171

( 1 imports )
> ntoskrnl.exe: IoFreeIrp, IoFreeMdl, KeSetEvent, InterlockedIncrement, KeWaitForSingleObject, IofCallDriver, KeGetCurrentThread, SeCreateAccessState, IoGetFileObjectGenericMapping, KeInitializeEvent, IoAllocateIrp, ObCreateObject, ObfDereferenceObject, NtClose, ObReferenceObjectByHandle, IoFileObjectType, IoCreateFile, RtlInitUnicodeString, InterlockedDecrement, IoReuseIrp, KeClearEvent, MmBuildMdlForNonPagedPool, IoAllocateMdl, IoDeleteDevice, ExFreePoolWithTag, KeServiceDescriptorTable, RtlFreeUnicodeString, wcscat, RtlAnsiStringToUnicodeString, RtlInitAnsiString, ZwClose, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ExFreePool, ExAllocatePoolWithTag, NtQuerySystemInformation, IoCreateDevice

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3DC73A2F804BF6DF15E900076D758C002588D76F

 

文件说明符 : C:/WINDOWS/system32/drivers/bzqcaby.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2008-10-20 10:11:25
修改时间 : 2008-10-20 10:11:26
大小 : 3328 字节 3.256 KB
MD5 : 0adef1a2209fd45652861a00dd4469bd
SHA1: 7188F7320C40338900448CDF64EAF48D3EC3A656
CRC32: 06ec1775

卡巴斯基报为:*-GameThief.Win32.OnLineGames.tbnn,瑞星报为:RootKit.Win32.RESSDT.al

 

c:/windows/system32/drivers/qabop.sys 与 C:/WINDOWS/system32/drivers/bzqcaby.sys 相同。


文件说明符 : C:/WINDOWS/system32/drivers/HBKernel32.sys
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2008-10-20 10:11:58
修改时间 : 2008-10-20 10:12:44
大小 : 16915 字节 16.531 KB
MD5 : 122048997c7333b81a0a12d5727de928
SHA1: 0DCB35B1EA2B8E85287D2FECAADB0F25C6D3FB61
CRC32: 574670e9

 

文件说明符 : C:/WINDOWS/System32/DRIVERS/ublhbztl.sys
属性 : A---
数字签名:beijing yahoo consulting and service co., ltd.
PE文件:是
语言 : 中文(中国)
文件版本 : 1.8.0.1096
产品版本 : 1.6.9.1084
公司名称 : Yahoo! China Corporation
创建时间 : 2008-10-13 8:32:52
修改时间 : 2008-10-13 8:32:54
大小 : 11192 字节 10.952 KB
MD5 : 4e37a88d3fa05668058cc502772a372f
SHA1: 86620A6DB27025A2B1E5FD30B19C0AB61A7AF0A0
CRC32: 777783fb

 

文件 ublhbztl.sys 接收于 2008.10.22 08:38:27 (CET)

反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 2008.10.22.0 2008.10.22 -
AntiVir 7.9.0.5 2008.10.21 -
Authentium 5.1.0.4 2008.10.22 -
Avast 4.8.1248.0 2008.10.21 -
AVG 8.0.0.161 2008.10.21 -
BitDefender 7.2 2008.10.22 -
CAT-QuickHeal 9.50 2008.10.21 -
ClamAV 0.93.1 2008.10.22 -
DrWeb 4.44.0.09170 2008.10.22 -
eSafe 7.0.17.0 2008.10.19 -
eTrust-Vet 31.6.6162 2008.10.21 -
Ewido 4.0 2008.10.21 -
F-Prot 4.4.4.56 2008.10.21 -
F-Secure 8.0.14332.0 2008.10.22 -
Fortinet 3.113.0.0 2008.10.22 -
GData 19 2008.10.22 -
Ikarus T3.1.1.44.0 2008.10.22 Rootkit.Win32.Agent.aff
K7AntiVirus 7.10.501 2008.10.21 -
Kaspersky 7.0.0.125 2008.10.22 -
McAfee 5411 2008.10.22 -
Microsoft 1.4005 2008.10.22 VirTool:WinNT/Rootkitdrv.BT
NOD32 3544 2008.10.21 -
Norman 5.80.02 2008.10.21 -
Panda 9.0.0.4 2008.10.22 -
PCTools 4.4.2.0 2008.10.21 -
Prevx1 V2 2008.10.22 -
Rising 20.67.20.00 2008.10.22 -
SecureWeb-Gateway 6.7.6 2008.10.21 -
Sophos 4.34.0 2008.10.22 -
Sunbelt 3.1.1742.1 2008.10.21 -
Symantec 10 2008.10.22 -
TheHacker 6.3.1.0.123 2008.10.22 -
TrendMicro 8.700.0.1004 2008.10.22 -
VBA32 3.12.8.8 2008.10.22 suspected of Win32.BrokenEmbeddedSignature (paranoid heuristics)
ViRobot 2008.10.22.1431 2008.10.22 -
VirusBuster 4.5.11.0 2008.10.21 -

附加信息
File size: 11192 bytes
MD5...: 4e37a88d3fa05668058cc502772a372f
SHA1..: 86620a6db27025a2b1e5fd30b19c0ab61a7af0a0
SHA256: dc4d4a5b5e91eef6bb1ce4d821442b0fa31c39c91a3861059b13f2186f2a4672
SHA512: 23824c66a6ba84ed0dc1c153ad1171ce0f0829616c97864bbe8412ef0cc91535
8b1df67816f930be134c1aab120e1e0644891d1de1b54b4bccf7a44080f5edfa
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (95.5%)
Generic Win/DOS Executable (2.2%)
DOS Executable Generic (2.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x11916
timedatestamp.....: 0x467271dd (Fri Jun 15 11:02:53 2007)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9ee 0xa00 6.25 424c20e382fa08c29134064cee3b2d0b
.rdata 0x2000 0x264 0x400 2.37 b9f1fc13b822743bdaaa7ba4911170ee
.data 0x3000 0x8 0x200 0.08 1fd62ec5648b0294c196045987fa1c25
INIT 0x4000 0x306 0x400 4.24 01f704985f1de453a4f4b55de53c08b9
.rsrc 0x5000 0x26c 0x400 4.00 11d1003cb466aaf4bfafcc40cbcc120c
.reloc 0x6000 0x138 0x200 2.65 5abefdda2fbafee21c0194c8f8f186bf

( 2 imports )
> ntoskrnl.exe: ZwSetValueKey, wcslen, wcscpy, memset, ExAllocatePoolWithTag, ZwQueryValueKey, ZwOpenKey, RtlInitUnicodeString, _except_handler3, IoDeleteDevice, IoUnregisterShutdownNotification, memmove, ZwClose, strlen, strrchr, ZwQuerySystemInformation, IofCompleteRequest, ObfDereferenceObject, ObReferenceObjectByName, IoDriverObjectType, _snwprintf, ZwEnumerateKey, ZwQueryKey, PsSetLoadImageNotifyRoutine, IoRegisterShutdownNotification, IoCreateDevice, wcscmp, MmIsAddressValid, ExFreePool
> HAL.dll: KfLowerIrql, KfRaiseIrql

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=4e37a88d3fa05668058cc502772a372f

 

文件说明符 : C:/WINDOWS/system32/drivers/yaskp.sys
属性 : A---
数字签名:Beijing Yahoo! Information and Technology Co., Ltd.
PE文件:是
语言 : 中文(中国)
文件版本 : 3.0.9.1010
说明 : KMD
版权 : Copyright (c) yahoo Corporation.
产品版本 : KMD
产品名称 : KMD
公司名称 : Copyright (C) yahoo Corporation.
内部名称 : yaskp.sys
源文件名 : yaskp.sys
创建时间 : 2008-10-9 15:51:54
修改时间 : 2008-5-7 18:15:28
大小 : 62384 字节 60.944 KB
MD5 : 76d5b13a35cae2e63aff52496b89a7cc
SHA1: 13F38879E26B9367B2763775AEB5C43AE844D711
CRC32: cb59adff

 

文件说明符 : c:/windows/system32/drivers/beep.sys
属性 : A---
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2004-8-17 12:0:0
修改时间 : 2008-10-20 10:11:22
大小 : 16256 字节 15.896 KB
MD5 : 17520c1ec38c2b92498be0ac75fa9729
SHA1: 7BCB155B57ADD016C1CEA91E0773BA92097F96D3
CRC32: 253b01e1

 

 

文件说明符 : C:/WINDOWS/system32/wuauclt.exe
属性 : A---
数字签名:否
PE文件:否
创建时间 : 2006-11-7 1:31:35
修改时间 : 2005-5-26 4:16:36
大小 : 40960 字节 40.0 KB
MD5 : 78adeefe82cea6bab2d19299a43ea13f
SHA1: C9FAB909378F5882D8C8A20C4812EA926038F4E7
CRC32: ac64ef20