AV终结者随机7位/8位字母组合成的恶意U盘BingDu的分析与查杀

查看文章

2008年04月28日星期一上午 02:31

呵呵

大家都在转载!

所以先看我的原地址!

http://hi.baidu.com/xiaodehua/blog/item/05cdda19dd90d279dbb4bd4d.html

此病毒的“劣根”表现在如下的几个主要方面

1、将目前知名的杀毒软件（如卡巴）和工具（如SREng)等通过 IFEO HIJACK使之无效，谢绝进一步的被探测和处理。
2、破坏安全模式，无法进入安全模式，使处理难度加大。
3、通过U盘传播没完没了。

请仔细阅读 清新阳光的分析报告和处理建议。

对于处理建议，我有一个更容易的做法

（1）下载 SRENG【teyqiu】.com 文件运行后修复安全模式
http://hi.baidu.com/xiaodehua/blog/item/05cdda19dd90d279dbb4bd4d.html

方法：系统修复高级修复点击修复安全模式在弹出的对话框中点击是

（2）利用SREng“智能扫描”功能获得分析报告(SREng.log）

分析报告后利用PowerRMV或者下面推荐的冰刃等工具删除相关病毒文件
PowerRMV的下载见本文最后

（3）处理善后事宜：将regedit.exe改名为 ss.com 运行后，删除无关的IFEO项目或者用下文推荐的autoruns软件。

--崔衍渠 2007-5-29

其他有用的解决方案：

>>> 1、AV终结者病毒全面解读金山毒霸提供完整解决方案 by 李铁军@金山毒霸（有专杀）
只下载专杀？ >>>> http://zhuansha.duba.net/259.shtml

>>>2、破坏多种常用软件八万用户遭到“帕虫”病毒侵害 by 瑞星（有专杀）

>>>3、“U盘寄生虫”病毒高发 “熊猫烧香”卷土重来 by 江民（无专杀）
http://www.jiangmin.com/News/jiangmin/index/important/2007612171134.htm

>>>4.IEFO劫持修复工具1 : http://www.mopery.cn/mopery/IFEO重定向劫持修复工具.exe by 空指针

>>>5、清新阳关的建议 http://hi.baidu.com/newcenturysun/blog/item/4e803add340389d88c102965.html

2007年6月8日更新的 随机8位数Bing Du新变种Worm.Pabug.db的分析与查杀

http://hi.baidu.com/xiaodehua/blog/item/05cdda19dd90d279dbb4bd4d.html

一、最新变种 7随机字符组合
原帖 http://hi.baidu.com/newcenturysun/blog/item/db3da71be85d3e188618bf5a.html
作者清新阳光 newcentury

File: ouvjwsc.exe
Size: 37756 bytes
MD5: 36AAC6211A71F9FA5875D55E573B3B87
SHA1: 9FDCFEB87F652946C61726544063CEC06C393B2E
CRC32: A733E8C7

运行后在系统文件夹下生成
C:\WINDOWS\system32\随机7位字母组合.exe
C:\WINDOWS\system32\随机7位字母组合.exe(两个文件名不同）
C:\WINDOWS\system32\meex.com

尝试关闭如下进程：

Ras.exe
avp.com
avp.exe
runiep.exe
PFW.exe
FYFireWall.exe
rfwmain.exe
rfwsrv.exe
KAVPF.exe
KPFW32.exe
nod32kui.exe
nod32.exe
Navapsvc.exe
Navapw32.exe
avconsol.exe
webscanx.exe
NPFMntor.exe
vsstat.exe
KPfwSvc.exe
RavTask.exe
Rav.exe
RavMon.exe
mmsk.exe
WoptiClean.exe
QQKav.exe
QQDoctor.exe
EGHOST.exe
360Safe.exe
iparmo.exe
adam.exe
IceSword.exe
360rpt.exe
360tray.exe
AgentSvr.exe
AppSvc32.exe
autoruns.exe
avgrssvc.exe
AvMonitor.exe
CCenter.exe
ccSvcHst.exe
FileDsty.exe
FTCleanerShell.exe
HijackThis.exe
Iparmor.exe
isPwdSvc.exe
kabaload.exe
KaScrScn.SCR
KASMain.exe
KASTask.exe
KAV32.exe
KAVDX.exe
KAVPFW.exe
KAVSetup.exe
KAVStart.exe
KISLnchr.exe
KMailMon.exe
KMFilter.exe
KPFW32.exe
KPFW32X.exe
KPFWSvc.exe
KRegEx.exe
KRepair.com
KsLoader.exe
KVCenter.kxp
KvDetect.exe
KvfwMcl.exe
KVMonXP.kxp
KVMonXP_1.kxp
kvol.exe
kvolself.exe
KvReport.kxp
KVScan.kxp
KVSrvXP.exe
KVStub.kxp
kvupload.exe
kvwsc.exe
KvXP.kxp
KvXP_1.kxp
KWatch.exe
KWatch9x.exe
KWatchX.exe
loaddll.exe
MagicSet.exe
mcconsol.exe
mmqczj.exe
nod32krn.exe
PFWLiveUpdate.exe
QHSET.exe
RavMonD.exe
RavStub.exe
RegClean.exe
rfwcfg.exe
RfwMain.exe
rfwsrv.exe
RsAgent.exe
Rsaupd.exe
safelive.exe
scan32.exe
shcfg32.exe
SmartUp.exe
SREng.EXE
symlcsvc.exe
SysSafe.exe
TrojanDetector.exe
Trojanwall.exe
TrojDie.kxp
UIHost.exe
UmxAgent.exe
UmxAttachment.exe
UmxCfg.exe
UmxFwHlp.exe
UmxPol.exe
UpLive.exe

删除键
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
破坏安全模式

添加IFEO映像劫持项目【几乎知名的杀软和工具都挂了释】
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\adam.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AgentSvr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AppSvc32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgrssvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CCenter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FileDsty.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FTCleanerShell.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FYFireWall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HijackThis.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iparmo.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\isPwdSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kabaload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KaScrScn.SCR
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASMain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVDX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPF.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSetup.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVStart.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KISLnchr.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMailMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KMFilter.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPFW32X.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KPfwSvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRepair.com
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KsLoader.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVCenter.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvDetect.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvfwMcl.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvolself.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvReport.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVScan.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVStub.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvupload.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kvwsc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP_1.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatch9x.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchX.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\loaddll.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MagicSet.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcconsol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmqczj.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmsk.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32krn.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NPFMntor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFWLiveUpdate.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QHSET.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDoctor.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQKav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\safelive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scan32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\shcfg32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SmartUp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SREng.EXE
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\symlcsvc.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SysSafe.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanDetector.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Trojanwall.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojDie.kxp
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UIHost.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAgent.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxAttachment.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxCfg.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxFwHlp.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UmxPol.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\upiea.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\UpLive.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsstat.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\webscanx.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WoptiClean.exe

在HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面添加两个随机7位字母.exe的启动项目

修改HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue为 0x00000000
屏蔽显示隐藏文件

删除C:\WINDOWS\system32\verclsid.exe
将其重命名为verclsid.exe.bak

在每个分区释放一个随机7位字母.exe和autorun.inf的文件
且右键菜单中看不见 auto 自动播放等字样

解决方法：
1 下载冰刃http://www.crsky.com/soft/6947.html
解压后把Icesword.exe改名
然后运行之
点击左下角文件按钮进入C:\windows\system32文件夹
把文件按照时间顺序排列找最近生成的文件
C:\WINDOWS\system32\随机7位字母组合.exe
C:\WINDOWS\system32\随机7位字母组合.exe(两个文件名不同）
C:\WINDOWS\system32\meex.com
3个文件大小相同
记住他们的名称

2.点击冰刃菜单栏的文件按钮（左上角）设置把禁止进线程创建的钩挑上
然后确定

3.进入冰刃的进程窗口分别结束刚才记住的那两个随机7位字母组合.exe的进程

4.用冰刃删除C:\WINDOWS\system32\随机7位字母组合.exe
C:\WINDOWS\system32\随机7位字母组合.exe(两个文件名不同）
C:\WINDOWS\system32\meex.com
和各个分区下面的随机7位字母组合.exe以及autorun.inf

5.恢复系统

恢复IFEO映像劫持项目：

这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了所以我们随便把他改个名字
打开这个软件后找到Image hijack (映像劫持）
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft
Corporation c:\windows\system32\ntsd.exe
以外的所有项目

此时可以打开sreng了
恢复安全模式：
打开sreng
系统修复高级修复点击修复安全模式在弹出的对话框中点击是

恢复显示隐藏文件：
把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

大功告成

~~~~~~~~~~~~~~

二、8随机字符组合

之前有一个变种是8随机字符的

以下情况是本人测试所得，如需转帖，请注明作者（清新阳光）
和出处http://hi.baidu.com/newcenturysun/blog/item/2ad3d7cedcea3c0292457e2c.html
谢谢！

由于病毒屏蔽带有“病毒”字样的窗口所以改一下帖子的名字
最近发现很多人出现了打不开杀毒软件反病毒工具甚至带有病毒字样的窗口今天就接到了这样的一个样本先前我发的那个一个坏事做绝的U盘病毒应该就是这个但今天收到的是新变种
这是一个可以说结合了几乎所有病毒的特征的病毒除了感染文件之外可以说是比熊猫有过之而无不及！

【病毒特征类似仅转载处理部分】

病毒特征：
1.破坏安全模式
2.结束常见杀毒软件以及反病毒工具进程
3.监控窗口
4.关闭自动更新以及Windows安全中心
5.屏蔽显示隐藏文件
6.下载木马
7.IFEO映像劫持

分析报告略
File: 1201AEC1.exe
Size: 36435 bytes
MD5: 23D80E8E5C2B7EB19E006E80C9BD4BFB
SHA1: E760703C8776C652B424FA62AF945434FB786BE5
CRC32: 27CA1195
加壳方式：UPX

解决办法如下：

1.确定那个8位随机数的dll的名称
这里我们选用winrar确定那个dll的名称
方法是：打开winrar.exe
工具查看文件
在上面的地址栏中进入c:\program files\common files\microsoft shared\msinfo目录
（如图1）
我这台被感染的电脑的文件名为41115bdd.dll

2.使用强制删除工具删除那个dll文件
这里我们选用Xdelbox1.2这个软件
具体使用方法见http://hi.baidu.com/teyqiu/blog/item/291690efc3f3b5eece1b3e5a.html（里面有下载地址）

重起机器后
3.恢复被映像劫持的软件
这里我们使用autoruns这个软件 http://www.skycn.com/soft/17567.html
由于这个软件也被映像劫持了所以我们随便把他改个名字
打开这个软件后找到Image hijack (映像劫持）
删除除了Your Image File Name Here without a pathSymbolic Debugger for Windows 2000 Microsoft

Corporation c:\windows\system32\ntsd.exe
以外的所有项目

4.此时我们就可以打开sreng了呵呵
打开sreng
系统修复高级修复点击修复安全模式在弹出的对话框中点击是

5.恢复显示隐藏文件

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

双击1.reg把这个注册表项导入

好了此时病毒对于我们的所有限制已经解除了
下面就是清除其下载的木马了
重起机器进入安全模式

打开sreng 启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的
<testrun><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\testexe.exe> []
<Kvsc><C:\WINDOWS\Kvsc3.exe> []

双击Userinit 把其键值改为C:\WINDOWS\system32\userinit.exe,

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

[CelInDrv / CelInDrv][Stopped/Disabled]
<\??\C:\WINDOWS\system32\Drivers\CelInDriver.sys><N/A>

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件

（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\testexe.dll
C:\Documents and Settings\Administrator\Local Settings\Temp\dl1.exe
C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dat（随机8位数字字母组合）
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\WINDOWS\Help\41115BDD.chm（随机8位数字字母组合）
C:\WINDOWS\system32\DirectX\DirectX.ini
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\msdebug.dll
C:\WINDOWS\system32\nwiztlbu.exe
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\testdll.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\win1ogo.exe
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\winpcap.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xpdhcp.dll
C:\WINDOWS\system32\LYLOADER.EXE
C:\WINDOWS\system32\LYMANGR.DLL
C:\WINDOWS\41115BDD.hlp（随机8位数字字母组合）
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\testexe.exe
C:\Program Files\Common Files\cssrs.exe
C:\Program files\ycnt1.exe~ycnt10.exe(如果有的话）
还是用winrar 删除各个分区下面的autorun.inf和 41115BDD.exe（随机8位数字字母组合）
一定不要双击最好的方法是用winrar看

注意其他分区下的autorun.inf和8位随机数的exe一定要删而且必须用winrar删不能双击打开也不能右键打开

5.26 update:刚刚发现病毒主程序更新了
新版本的主程序的相关信息
File: update.exe
Size: 36435 bytes
MD5: 981A3D735B65F85ADF72EB00CBE7E342
SHA1: F96C27CA5D8380D07C571CB4A5EA95838E1C8B92
CRC32: EB10E247

并且下载的木马也有变化
http://google.xxxx38.org/update/1.exe 有变化新病毒的版本为2007-5-26-21：50的版本
清除方法已经更新

http://hi.baidu.com/xiaodehua/blog/item/05cdda19dd90d279dbb4bd4d.html

类别：逍遥病毒 | 添加到搜藏 | 浏览() | 评论 (0)

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复