上午跟此病毒斗爭,總算在服務里看不到這個恐怖的服務了。
將收集到的資料放在這里,以備后患!
該病毒就是前些日子流行的“修改系統時間”的病毒之變種。此次變種可謂是集N種破壞性病毒之大成了。主要破壞功能有:
??????? 1.感染exe 并使得被感染的exe的公司等屬性變為“番茄花園”
2.感染html asp 等文件 插入惡意代碼
3.通過雙擊磁盤啟動
4.下載木馬,盜取網游帳號
5.修改注冊表 使系統無法顯示隱藏文件
6.通過hook API 函數 導致任務管理器中 無法看見其進程
分析報告如下:
解決辦法:
安全模式下(開機后不斷 按F8鍵 然后出來一個高級菜單 選擇第一項 安全模式 進入系統)
首先把系統日期 改回來
然后打開sreng(可到down.45it.com下載)
啟動項目 注冊表 刪除如下項目
?<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbs><C:\WINDOWS\cmdbs.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<winform><C:\WINDOWS\winform.exe> [] |
“啟動項目”-“服務”-“Win32服務應用程序”中點“隱藏經認證的微軟項目”,
選中以下項目,點“刪除服務”,再點“設置”,在彈出的框中點“否”:
?139CA82A / 139CA82A
Wireless Zero Conflguration / inetsvr |
把下面的 代碼拷入記事本中然后另存為1.reg文件
| ?Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105" |
雙擊1.reg把這個注冊表項導入注冊表
然后雙擊我的電腦-工具-文件夾選項-查看-顯示所有文件和文件夾,把“隱藏受保護的系統文件”的勾去掉。
右鍵 點擊C盤 點擊右鍵菜單中的“打開”打開C盤 (千萬不要雙擊)(如圖)
刪除 如下文件
?C:\rising.exe
C:\autorun.inf
C:\WINDOWS\system32\buchehuo.exe
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\unspapik.txt
C:\WINDOWS\wiasevct.txt
C:\WINDOWS\wiasvctr.txt
C:\WINDOWS\ganran.txt
C:\WINDOWS\system32\139CA82A.DLL(隨機的8個數字字母組合成的文件名)
C:\WINDOWS\system32\139CA82A.EXE(隨機的8個數字字母組合成的文件名)
C:\WINDOWS\system32\K117815XXXXX.exe(XXXXX代表隨機數字)
清空C:\Documents and Settings\用戶名\Local Settings\Temp |
右鍵 點擊分別打開系統分區以外的分區 還是點擊右鍵菜單中的“打開” (千萬不要雙擊)
刪除每個分區下面的autorun.inf和rising.exe文件