瑞星卡卡安全论坛

昨天晚上运行pcieyo.exe病毒，出现状况，杀毒软件和QQ自动退出，重启后进入桌面，无法显示桌面图标，D,E,F,G盘双击无法打，右键－－打开，才能进入D,E,F.G盘中，在任务管理器中新建C\WINDOWS\Explorer.exe　提示没有权限.需要进入安全模式下修复.

更改了:

D:\Program Files\QQ\QQ.EXE

生成

C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys 
C\WINDOWS\SYSTEM32\pcieyo.exe
C\WINDOWS\SYSTEM32\pcieyo.dll


使用IceSword结束进程pcieyo.exe，

运行SREng2,使用“启动项目”－－注册表－－选择要修改的项
Explorer.exe pcieyo.exe
，点“编辑”在“值”里删除pcieyo.exe


C\WINDOWS\SYSTEM32\pcieyo.exe
C\WINDOWS\SYSTEM32\pcieyo.dll
因pcieyo.exe隐藏性极高，需要用WINRAR查找.修复.

删除以下文件
C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys 


把QQ重新安装一次.


运行后的SRENG日志
启动项
Explorer.exe pcieyo.exe

Autorun.inf
[D:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[E:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[F:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
[G:\]
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe


sxs.exe
参考BAOHE版主的贴子
http://forum.ikaka.com/topic.asp?board=28&artid=8173208

多谢版主,学习

C\WINDOWS\SYSTEM32\NET.EXE
C\WINDOWS\SYSTEM32\NET1.EXE
D:\Program Files\QQ\npkcrypt.sys
是病毒生成的？

引用:

【scriptman的贴子】C\WINDOWS\SYSTEM32\NET.EXE C\WINDOWS\SYSTEM32\NET1.EXE D:\Program Files\QQ\npkcrypt.sys 是病毒生成的？ ………………

很抱歉，这个是我的失误，病毒样本，我已交给了BAOHE版主，

引用:

【秋日里的蓝天的贴子】昨天晚上运行pcieyo.exe病毒，出现状况，杀毒软件和QQ自动退出，重启后进入桌面，无法显示桌面图标，D,E,F,G盘双击无法打，右键－－打开，才能进入D,E,F.G盘中，在任务管理器中新建C\WINDOWS\Explorer.exe　提示没有权限.需要进入安全模式下修复. 更改了: D:\Program Files\QQ\QQ.EXE 生成 C\WINDOWS\SYSTEM32\NET.EXE C\WINDOWS\SYSTEM32\NET1.EXE D:\Program Files\QQ\npkcrypt.sys  C\WINDOWS\SYSTEM32\pcieyo.exe C\WINDOWS\SYSTEM32\pcieyo.dll 使用IceSword结束进程pcieyo.exe， 运行SREng2,使用“启动项目”－－注册表－－选择要修改的项 Explorer.exe pcieyo.exe ，点“编辑”在“值”里删除pcieyo.exe C\WINDOWS\SYSTEM32\pcieyo.exe C\WINDOWS\SYSTEM32\pcieyo.dll 因pcieyo.exe隐藏性极高，需要用WINRAR查找.修复. 删除以下文件 C\WINDOWS\SYSTEM32\NET.EXE C\WINDOWS\SYSTEM32\NET1.EXE D:\Program Files\QQ\npkcrypt.sys  把QQ重新安装一次. 运行后的SRENG日志 启动项 Explorer.exe pcieyo.exe Autorun.inf [D:\] [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe [E:\] [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe [F:\] [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe [G:\] [AutoRun] open=sxs.exe shellexecute=sxs.exe shell\Auto\command=sxs.exe sxs.exe 参考BAOHE版主的贴子 http://forum.ikaka.com/topic.asp?board=28&artid=8173208 ………………

欢迎交流，并指出错误


病毒样本，已交给BAOHE版主，在贴子出现的问题，BAOHE版主会指出的，在此造成的失误向各位说声对不起。

引用:

【秋日里的蓝天的贴子】 欢迎交流，并指出错误 病毒样本，已交给BAOHE版主，在贴子出现的问题，BAOHE版主会指出的，在此造成的失误向各位说声对不起。 ………………

这个木马有注册表监控能力。
删除其启动项之前，必须结束木马进程C:\windows\system32\pcieyo.exe。



要删除的文件：

C:\windows\system32\pcieyo.exe
C:\windows\system32\pcieyo.dll
C:\windows\system32\QQhx.dat
右键打开分区根目录，删除各硬盘分区根目录下的Autorun.inf和sxs.exe

————————
Program Files\QQ\npkcrypt.sys和QQ.EXE没有被木马改动



附件: 155847200611383102.jpg