skrmejg.exe又是之前分析的七位字母命名的病毒变种。好无聊……IFEO劫持了那些安全软件，后台下载其它类型的病毒。蛇鼠一窝……虽然导致安全模式进不了，不过只要能进正常模式，那么此毒必死……杀毒前记得断网！卡巴报skrmejg.exe为Virus.Win32.AutoRun.ao。先看skrmejg.exe的行为分析：

Virus.Win32.AutoRun.ao行为分析

一、病毒运行后生成如下文件：

%ProgramFiles%\Common Files\System\jgnlkpy.exe
%ProgramFiles%\Common Files\Microsoft Shared\kplqtjg.exe
%ProgramFiles%\meex.exe
%ProgramFiles%\tgiqbee.inf
X:\skrmejg.exe
X:\autorun.inf

病毒下载并激活其它病毒文件：

%temp%\LYLOADER.EXE （OnlineGames木马变种：Trojan-PSW.Win32.OnLineGames.nn）
%ProgramFiles%\1Amh.exe （OnlineGames木马变种：Trojan-PSW.Win32.OnLineGames.nn）
%ProgramFiles%\2Bwow.exe （OnlineGames木马变种：Trojan-Dropper.Win32.Small.axt）
%ProgramFiles%\3Czt.exe （OnlineGames木马变种：Trojan-PSW.Win32.OnLineGames.rc）
%ProgramFiles%\4Djh.exe （Trojan-Proxy.Win32.Small.du）
%ProgramFiles%\6Ftl.exe （OnlineGames木马变种：Trojan-PSW.Win32.OnLineGames.rc）
%ProgramFiles%\7Gmy.exe
%ProgramFiles%\8H1.exe
%ProgramFiles%\9I2.exe （Trojan-Proxy.Win32.Small.du）
%ProgramFiles%\10J3.exe （OnlineGames木马变种：Trojan-PSW.Win32.OnLineGames.es）

注：如果你的操作系统在C盘，那么%ProgramFiles%表示C:\Program Files，%temp%表示临时文件夹，X表示每一个盘符（除了C盘）。

二、修改注册表键值：

1、IFEO劫持等其它行为（参考这）
不过这次变种新增加了三个劫持项ArSwp.exe、AST.exe与USBCleaner.exe。它们都指向此病毒文件：C:\Program Files\Common Files\Microsoft Shared\kplqtjg.exe。

2、添加如下注册表键值以达到随机启动的目的：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\skrmejg 值：C:\Program Files\Common Files\Microsoft Shared\kplqtjg.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tgiqbee 值：C:\Program Files\Common Files\System\jgnlkpy.exe

三、中毒症状：

许多安全软件都无法使用（双击无反应——其实你这个动作就运行了IFEO劫持指向的病毒）；进不了安全模式；进入病毒文件jgnlkpy.exe与kplqtjg.exe所在的目录会自动关闭窗口；只要窗口标题包含“病毒”、“木马”、“专杀”等字样，这个窗口就会被病毒关闭（这就是为什么你在百度搜索病毒等关键字后，网页会自动关闭，因为搜索之后网页的标题就包含病毒等关键字了！）；每个盘符根目录下都有病毒文件，双击在新窗口中打开（这往往导致许多人重装系统后又中毒了）；任务管理器中有两个7位字母命名的病毒进程相互保护着。

病毒skrmejg.exe专杀与简单解决方案

由于此毒是下载者，会下载其它类型的病毒，所以运行专杀工具后，再用AVG、卡巴等杀软全盘扫描，将其它病毒杀了。删除不了的病毒文件用ICESWORD或XDELBOX删！病毒skrmejg.exe下载的其它病毒行为如下简单分析：

1、病毒文件激活后会释放如下病毒文件：

%temp%\LYLOADER.EXE
%SystemRoot%\system32\drivers\CelInDriver.sys
%SystemRoot%\system32\dllhost32.exe
%SystemRoot%\system32\nwiztlbu.exe
%SystemRoot%\system32\Kvsc3.dll
%SystemRoot%\system32\nslookupi.exe
%SystemRoot%\system32\windhcp.ocx
%SystemRoot%\system32\msdebug.dll
%SystemRoot%\system32\netsrvcs.dll
%SystemRoot%\system32\hreax.dll
%SystemRoot%\system32\wtrmm.dll
%SystemRoot%\system32\msport.dll
%SystemRoot%\system32\msacn.dll

2、并创建如下服务项：

HKLM\SYSTEM\CurrentControlSet\Services\WinDHCPsvc 服务名：Windows DHCP Service
HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
HKLM\SYSTEM\CurrentControlSet\Services\MSDebugsvc 服务名：Win32 Debug Service
HKLM\SYSTEM\CurrentControlSet\Services\WZCSRVC 服务名：Wireless Service

到我的网盘http://ycosxhack.ys168.com/下载病毒skrmejg.exe的专杀工具“No-skrmejg.exe.rar”，目录为“病毒专杀”。运行专杀后，再参考上面的简单分析，清除其它病毒。安全模式的修复可以看这里（xd1668的文章）。转载请注明“余弦函数：http://hi.baidu.com/ycosxhack”。