Win32.Troj.Romdrivers.ka病毒专杀工具

查看文章

2007-06-12 15:05

病毒名称：Win32.Troj.Romdrivers.ka （毒霸）
中文名称：罗姆
病毒类型：木马
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒文件：romdrivers.dll,fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe,fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

====================================================================
病毒行为:
该病毒会导致大量安全软件运行失败；会下载大量盗号木马到用户计算机来盗取用户帐号信息。

1、释放以下病毒文件：
系统分区:\Program Files\Internet Explorer\romdrivers.dll
系统分区:\Program Files\Internet Explorer\romdrivers.bak
系统分区:\Program Files\Internet Explorer\romdrivers.bkk

2、创建以下注册表项来使病毒文件随系统启动来启动（其CLSID不定）：
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}\InProcServer32\(Default) "C:\Program Files\Internet Explorer\romdrivers.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CD68AC9-FF63-3E61-626B-B663E62F6236} ""

3、尝试删除以下注册表项来防止其它病毒的干扰：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DE35052A-9E37-4827-A1EC-79BF400D27A4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DD7D4640-4464-48C0-82FD-21338366D2D2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{131AB311-16F1-F13B-1E43-11A24B51AFD1}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{274B93C2-A6DF-485F-8576-AB0653134A76}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF56-6E73-937B-B893E72F6226}
5HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{42A612A4-4334-4424-4234-42261A31A236}

4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

5、将NOD32的库文件nod32.000改名为nod32.000.bak，从而使NOD32无法查杀病毒。

6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息，以便病毒升级，如下：其中"Me"记录病毒本体的版本，数字表示下载的病毒的序号，其值记录相应病毒的版本信息。
HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32"
HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98"
HKEY_CURRENT_USER\Software\SetVer\ver 3 "2.992"
HKEY_CURRENT_USER\Software\SetVer\ver 4 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 5 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 6 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 7 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 8 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 9 "2.99"
HKEY_CURRENT_USER\Software\SetVer\ver 10 "1.98"
HKEY_CURRENT_USER\Software\SetVer\ver 11 "1.991"
HKEY_CURRENT_USER\Software\SetVer\ver 12 "1.891"
HKEY_CURRENT_USER\Software\SetVer\ver 13 "1.91"
HKEY_CURRENT_USER\Software\SetVer\ver 14 "1.0"

8、创建消息钩子，将病毒文件romdrivers.dll注入到explorer进程中，然后通过explorer来连接网络进行病毒自更新，下载大量盗号木马到用户计算机来盗取用户相关帐号。

9、进行ARP欺骗，造成局域网网络阻塞并导致无法上网。

10、删除hosts文件来取消用户对某些网站的屏蔽。

11、下载的木马运行后会释放以下文件到Temp目录：
fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe
fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

12、下载的木马运行后创建以下注册表项：把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名，如：　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run fysa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wosa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe"

====================================================================

清除办法：（专杀工具）

>>点击进入下载 （在“专杀工具”里）

特别提示：
如果在使用专杀工具后杀毒软件仍然无法打开，请到杀毒软件所在目录找到以"ws2_32.dll"命名的文件夹，删除即可。如果找不到这个文件或者找到了但是删除了，请下载使用"ws2_32.dll"专用清除工具，>>点击进入下载

说明文档：
1、本软件适用于检测清除ARP病毒Win32.Troj.Romdrivers.ka；

2、部分杀毒软件的主动防御可能会误报病毒，请大家放心使用；如果误报，请暂时关闭杀毒软件的实时监控；

3、部分用户使用时会遇到杀毒软件的注册表监控提示，请选择“同意”；否则杀毒失败；

4、由于本软件可以通过网络等途径下载、传播，对于从ALPHA'S STUDIO指定站点(http://hi.baidu.com/peaset/)以外途径下载的本软件，ALPHA'S STUDIO无法保证该软件是否感染计算机病毒、是否隐藏有伪装的特洛伊木马程序或者黑客软件，不承担由此引起的直接和间接损害责任。

5、ALPHA'S STUDIO保证本软件不含有任何旨在破坏用户计算机数据和获取用户隐私信息的恶意代码，不含有任何跟踪、监视用户计算机和或操作行为的功能代码，不会监控用户网上、网下的行为或泄漏用户隐私。
--------------------------------------------------------------------------------------------------------------------
本文由ALPHA'S STUDIO原创，转载请注明出处：http://hi.baidu.com/peaset/
--------------------------------------------------------------------------------------------------------------------

类别：原创专杀 | 添加到搜藏 | 浏览() | 评论 (315)

最近读者：

网友评论：

2007-06-12 16:21 | 回复

我用了，效果非超好。是在感谢。你太厉害拉

2007-06-12 17:26 | 回复

局域网什么意思,是一台中毒了了其他的也都中毒么?

2007-06-13 09:11 | 回复

谢谢了，用了你的专杀工具，好像好了，真是太感想了。收藏你的博客

2007-06-13 13:20 | 回复

怎么不能下载啊

2007-06-13 16:54 | 回复

本文被【发掘网】病毒风向标栏目采用，谢谢～

2007-06-13 19:35 | 回复

已经著明啦! 自己去看看

2007-06-13 20:33 | 回复

谢啦！我的电脑好了！

2007-06-13 23:03 | 回复

下载用了，按照说明里的方法运行一次，说是成功然后重启，再运行，删除了很多东西。但是金山毒霸还是无法运行，怎么回事啊？

2007-06-14 09:39 | 回复

回复 ynlang 请看本文的“特别提示”

2007-06-14 10:09 | 回复

谢谢，已经搞定了！

2007-06-14 10:52 | 回复

用了不管用,我们办公室几台都中了,我的瑞星目录下没有ws2这个文件夹,有的有这个文件夹,用专杀杀去后没有了，可还是打不开杀毒软件,出现的问题是一样的.下完专杀(杀完毒)后用U盘(刚格的)拷到别的机器上,结果把别的计算机也感染了,郁闷^

2007-06-14 12:07 | 回复

回复 hehes 根据你的描述，我判断，你所中的毒，不仅仅只有“罗姆”，罗姆不通过U盘设备传播，也不感染文件，所以你所说的感染了其他机器，这绝对不是罗姆所为。请不要乱用专杀工具。另外建立你查看本博关于100%防U盘病毒的文章。

2007-06-14 12:35 | 回复

又是我，我在帮同事杀，根据产生的fyso.exe, jtso.exe, mhso.exe, qjso.exe等文件和金山毒霸目录下的ws2_32.dll文件夹判断应该也是这个病毒，用了专杀工具后第一次删除ws2_32.dll目录成功，但是依然不能运行杀毒工具。反复用了几次，也尝试重装杀毒软件，依然不能解决，并且ws2_32.dll目录再也不能删除了。望指导一下，谢谢！

2007-06-14 22:15 | 回复

我的机子按你说的方法试了下怎么还是杀不掉啊金山毒霸还是不能用还有就是ws2-32.dll怎么删不掉啊希望高手指点急！！！！！！！！！！！！！

2007-06-14 22:17 | 回复

ws2-32.dll 我是用搜索搜出来的怎么就是删不掉啊急！！！！！！！！！！！！求高手指点

2007-06-14 22:55 | 回复

我的怎么在杀毒软件下面怎么找不到ws2-32.dll 啊急！！！！！！！

2007-06-14 22:57 | 回复

请下载使用"ws2_32.dll专用清除工具”

2007-06-15 10:34 | 回复

我这里生成的是romdriverers.dll文件，，杀不掉啊

2007-06-15 11:13 | 回复

回复 lius 你可以留下你的QQ号，我会跟你联系。

2007-06-15 14:10 | 回复

你好！感谢你说的那么详细，很想试一下，但是我下了前两个软件，在解压缩的时候都出现错误，说什么文件损坏，怎么办啊？麻烦你了！我的QQ26292080

2007-06-15 14:29 | 回复

网盘里面没有专用清除工具啊在链接上下的又解压不出来哦，怎么办才好？

2007-06-15 15:38 | 回复

回复 20、21 已经更新了下载连接，请重新下载。

2007-06-15 15:52 | 回复

用了专杀工具和文件专杀但是还是不能打开瑞星和安全卫士360，我的qq是154382609

2007-06-15 16:18 | 回复

用了专用清除工具却说系统找不到指定文件问题还是没解决呀，真是郁闷哦

2007-06-15 19:27 | 回复

太好了,实在感谢!我用了,确实好用!我不是枪手!顶了!

2007-06-15 19:29 | 回复

24楼老兄,把杀毒工具解压后,复制到要删除的文件夹所在目录,在杀毒就OK了!

2007-06-15 19:33 | 回复

非常感谢！

2007-06-15 20:12 | 回复

太感谢了

2007-06-16 05:09 | 回复

为什么杀过后，还有．总是杀不干净．请帮忙解决谢谢

2007-06-16 10:50 | 回复

谢谢了，好用，大力宣传！！！

2007-06-16 14:21 | 回复

今天能下载了，真的太有效了。我用了"ws2_32.dll"专用清除工具。厉害啊！！！楼主

2007-06-16 14:26 | 回复

病毒太可恶了。谢谢了，我下看看再说

2007-06-16 14:29 | 回复

工具太多了阿，选哪个下啊。本人不太懂这方面，都是自己摸索着干的，望详细指教呀

2007-06-16 17:03 | 回复

非常感谢网爷我收藏了有不少好东西感谢你的分享

2007-06-16 20:43 | 回复

太感谢了！！服了你了！！

2007-06-16 23:34 | 回复

为什么每次都是病毒删除完毕。然后下次还会有病毒可以杀出来。。。

2007-06-17 00:09 | 回复

回复朵` 由于是专杀工具，软件在设计上没有去判断是否有毒，因此不管怎么样都会执行。你所看到的每次都能杀出来，事实不是那样的，那些是系统产生的临时文件。

2007-06-17 00:18 | 回复

新问题- -~！ pkeusvq...什么东西！

2007-06-17 00:23 | 回复

回复朵 pkeusvq.exe是病毒，至于如何处理，你可以问百度。

2007-06-17 07:29 | 回复

呃。。。用了你那个专杀，360目录下的ws2_32.dll没有了但是卡巴斯基文件目录下的ws2_32.dll怎么也删不掉，之前手动删除也是“找不到指定文件”。。。。我晕~~杀个毒怎么就这么难~~看来以后上网还是别裸奔了。。。-_-|||

2007-06-17 08:43 | 回复

感谢弟兄们!问大家一个问题:这个世界怎么啦?为什么时时刻刻都要装在套子里呀?

2007-06-17 16:22 | 回复

你好，我用你的工具杀了，可是每次上去杀了，第２次上去的时候还会有，怎么也杀不干净，是怎么回事情啊？

2007-06-17 16:25 | 回复

瑞星罗姆病毒不能打开,按照你说的方法,清除了,也杀病毒了,提示也说病毒清除,马上瑞星也能用了,可杀完毒,就有提示应用程序错误,在瑞星目录下,ws2_32.dll就又出现了,反复如此,郁闷....

2007-06-17 17:36 | 回复

谢谢你，我在运行Killcc.rar的时候，出现“系统检测到程序已被非法破坏，请与作者联系“

2007-06-18 11:14 | 回复

太牛了，很好用，使用两个小软件很快把问题解决了，小狮子又工作了。

2007-06-18 13:12 | 回复

真是太强了，也把我的弄好了，谢谢

2007-06-18 15:25 | 回复

我的电脑业中了这个病毒，但是我下载这个专杀工具后在向卡巴斯基文件夹解压"ws2_32.dll"专用清除工具时出错，系统提示无法创建，换种方法也无法把解压好文件移入卡巴斯基文件夹中，这样应该怎么解决呢？

2007-06-18 16:55 | 回复

大侠请教一下，我的电脑似乎中了罗姆这个病毒，症状是360安全卫士打不开，一打开就出现“应用程序正常初始化（0x00000ba）失败，卡巴斯基也安装不了，诺顿也是，winamp也出现迷你歌词打开的问题，问题如下： Version: "Undefined!", MiniLyrics HINST= 0x3590000, Plugin HINST= 0x3570000 Timestamp: 2066-6-18 16:46:22 Exception code: C0000005 ACCESS_VIOLATION Fault address: 03617ADB 01:00086ADB 不知这个症状是不是罗姆？我的电脑里也生成过daso0.dll，后来貌似被我删了，我的电脑可以用杀毒软件AVG Anti-Spyware，里面有四百多个文件被感染，大多是.exe的文件。但是杀完毒之后360还是打不开，其他的杀毒软件也安装不了。请问我该怎么做？

2007-06-18 16:59 | 回复

回复 48（小菜鸟）你可以下载本专杀工具查杀。

2007-06-18 17:23 | 回复

我也用专杀工具杀过了，但好像还是不行。

[首页] 1 [2] [3] [4] [5] [6] [7] [下一页]

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复